이제 시작이야! 해킹과 침투 테스트 2판: THE BASICS

 

이제 시작이야! 해킹과 침투 테스트 2판

: THE BASICS

 

시리즈명 철통보안 시리즈 021

저자 패트릭 엔게브렛슨

역자 김선국, 양우철

 

출간일 2014년 7월 28일 (월)

정가 22,000원

페이지 244

 

판형 173 x 230

ISBN 978-89-94774-58-9 (93000)

원서정보 The Basics of Hacking And Penetration Testing Second Edition

 

 

책 소개

 

입문자를 위한 해킹과 침투 테스팅의 기초

 

이 책 한 권이면 여러분도 해킹과 침투 테스트를 시작할 수 있다!

 

“이 책은 네트워크 해킹에 입문하는 사람이라면 반드시 읽어야 할 필독서다. 저자는 더 탄탄한 내용을 담은 2판으로 다시 돌아왔다. 고급 해커든 입문자든 상관없이, 정보 보안 업계에 종사하는 사람이라면 이 책을 반드시 읽을 것을 강력히 추천한다.”

 

--『The Basics of Web Hacking』의 저자, Josh Pauli

 

 

《이제 시작이야! 해킹과 침투 테스트: THE BASICS, 2판》은 침투 테스트나 윤리적 해킹을 완료하기 위해 필요한 과정을 처음부터 끝까지 자세하게 소개한다. 해킹에 대한 경험이 전혀 없다고 해도 이 책을 읽는 데 아무런 어려움이 없을 것이다. 이 책을 통해서 침투 테스트를 성공적으로 완료하는 데 필요한 해킹 툴을 어떻게 활용하는지, 그리고 툴에서 나온 결과값을 어떻게 해석해야 하는지를 배울 수 있다. 여기서는 구글 탐색, MetaGooFil, Nmap, Nessus, Metasploit, SET, w3af, Netcat, 해커 디펜더 루트킷(Hacker Defender rootkit)과 그 밖에 다양한 툴을 소개하고, 이러한 툴을 어떻게 효과적으로 활용할 수 있는지, 그리고 4단계 해킹 방법론이 무엇인지 간단명료하게 설명한다.

 

이 책은 해킹을 처음 시작할 때 필요한 노하우나 공격적 보안의 기본기를 다루고 있고, 각각의 과정과 툴을 체계적으로 자세히 설명하며, 이를 통해 독자들이 한 단계에서 나온 결과를 다음 단계에서 활용하는 방법에 대해 배울 수 있도록 해준다. 그리고 이러한 과정을 통해 어떻게 각 툴과 단계들이 연관되어 있는지 배울 수 있다.

 

 

특징

 

각 장에서는 예제와 과제들로 어떻게 결과값을 이해하고, 이를 다음 단계에서 활용할 수 있는지 가르쳐준다. 저자는 침투테스터로 왕성하게 활동하고 있으며, 다코타 주립대학에서 공격적 방어, 침투 테스트, 윤리적 해킹, 공격 코드에 대한 수업을 강의하고 있다.

 

개정판인 이 책은 침투 테스트 수행에 필요한 툴 정보를 업데이트했다.

 

 

독자대상

초급

 

 

저자 소개

 

패트릭 엔게브렛슨 (Patrick Engebretson)

 

다코다 주립대학에서 정보 보안학 박사 학위를 취득하였다. 현재는 컴퓨터와 네트워크 보안학과 조교수로 재직 중이며, “현역” 침투테스터로도 맹활동 중이다. 관심 연구 분야로는 침투 테스트, 해킹, 공격 코드, 악성 코드 등이며, 데프콘(Defcon)과 블랙햇(Black Hat)에서 발표한 경력도 있다.

 

 

역자 소개

 

김선국

 

하와이대 컴퓨터 정보 공학과에서 학사를 마치고, 해군 통역장교를 거쳐 현재 주요 사회기반시설에 대한 취약점 분석 업무를 하고 있다. 주로 군사, 국제법, 경제, 컴퓨터, 정보 보안 등에 대한 자료들을 번역해왔으며, 역서로는 《이제 시작이야! 해킹과 침투 테스트》, 《해킹과 침투 테스트를 위한 코딩》, 《이제 시작이야! 디지털 포렌식》, 《해커의 언어, 치명적 파이썬》 등이 있다.

 

양우철

 

한국외국어대학교 정보통신공학과에서 학사를 마쳤으며, 안철수연구소 기술컨설팅팀에서 침투 테스트와 취약점 분석 업무를 담당하고 있다. 대기업, 포털, 금융권 등 다양한 기업을 대상으로 모의 해킹을 수행하였으며, 침투 테스트와 위험분석, 취약점 평가방법론 그리고 인문학에 관심이 많다. 역서로는 《이제 시작이야! 해킹과 침투 테스트》, 《해킹과 침투 테스트를 위한 코딩》이 있다.

 

 

 

목차

 

1장. 침투 테스트 소개

소개 

시작하기 전에  

Kali와 Backtrack 리눅스 소개: 다양한 툴의 세계 

공격도구 사용 방법: 공격도구 사용 입문 

해킹 실습환경 구성과 사용  

방법론: 침투 테스트 수행 단계 

다음 단계 

요약

 

2장. 탐색

소개 

HTTrack: 웹사이트 복사기 

구글 검색 연산자: 구글권법 연습하기 

The Harvester: 이메일 주소 검색과 활용 

Whois 

Netcraft 

Host

DNS에서 정보 추출하기 

nslookup 

DIG 

Fierce: zone transfer가 실패했을 때 해야 할 일 

메일 서버에서 정보 추출하기 

Metagoofil 

위협: 드론의 공격 

사회공학기법 

수집된 정보로 공격 가능한 대상 찾기 

실습하기 

다음 단계 

요약

 

3장. 스캐닝

소개 

핑과 핑 스윕 

포트 스캐닝 

3방향 핸드쉐이크  

Nmap – TCP 커넥트 스캔 

Nmap - SYN 스캔 

Nmap - UDP 스캔 

Nmap – 크리스마스 트리 스캔  

Nmap – 널 스캔  

Nmap Scripting Engine: 애벌레에서 나비로  

포트 스캐닝 정리  

취약점 스캐닝 

실습하기 

다음 단계 

요약

 

4장. 공격

소개 

Medusa: 원격 서비스의 권한 획득하기 

Metasploit: 휴 잭맨 스타일로 해킹하기! 

JtR: 비밀번호 크래킹의 제왕  

로컬 비밀번호 크래킹 

원격 비밀번호 크래킹 

리눅스 비밀번호 크래킹 및 간단한 권한 상승 예제 

비밀번호 재설정: 밀어버리고 새롭게 설정하기 

Wireshark: 네트워크 트래픽 도청 

Macof 

Armitage: 해킹계의 Doug flitie 

다른 툴에 대해서도 배워야 하는 이유 

실습하기 

다음 단계 

요약

 

5장. 네트워크 분석

소개 

SET 기본 기능 

웹사이트 공격 벡터  

인증정보 탈취 

기타 옵션 

요약

 

6장. 웹 해킹

소개 

이제 시작이야! 웹 해킹!  

Nikto: 웹서버 정보 수집 툴 

w3af: GUI와 기능 

스파이더링: 대상 웹사이트 정보 수집 

WebScarab: 웹 요청 가로채기 

코드 삽입 공격 

XSS: 사이트를 신뢰하는 브라우저  

ZAP: 해킹 툴 종합선물세트 

ZAP에서 패킷 가로채기 

ZAP로 스파이더링하기 

ZAP로 스캐닝하기 

실습하기 

다음 단계 

추가 정보  

요약

 

7장. 백도어, 루트킷, Meterpreter로 접근 권한 유지하기

소개 

Netcat: 진정한 맥가이버 칼 

Cryptcat: Netcat의 은밀한 사촌 

루트킷 

해커 디펜더: 어? 이름 잘못 지은 거 아니야? 

루트킷 탐지와 방어 

Meterpreter: 나는 도깨비 방망이  

실습하기 

다음 단계 

요약

 

8장. 침투 테스트 마무리

소개 

침투 테스트 보고서 작성 

진단 결과 요약문 

상세 결과 보고서 

툴 결과물 

여기서 안주하지 말자 

다음 단계 

맺음말 

삶의 순환 

요약

 

 

출판사 리뷰

 

침투 테스트는 애플리케이션, 시스템, 또는 네트워크의 기능이 보안상 안전한지 식별하기 위해 실제 해킹과 유사한 방법으로 실시하는 보안 테스트다. 이 책에서는 이러한 침투 테스트를 수행하기 위한 절차를 4단계로 나누어 초보자가 쉽게 접근할 수 있도록 소개한다. 4단계로 이루어진 침투 테스트의 전체적인 절차 및 단계(정보를 수집하고, 수집된 정보를 분석하여, 어떻게 공격할 것인지, 그리고 공격이 성공한 이후에 지속적으로 공격하기 위해 어떤 것을 할 수 있는지)에 대해 간략하게 설명하고 있으며 각 단계를 진행할 때 사용할 수 있는 툴들의 일부에 대해서 다루고 있다.

 

해킹이나 침투 테스트에 관심이 있는 그 어떤 사람이든 이 책을 시작점으로 사용할 수 있다. 이 책에서는 특정 툴에 대해서도 다루지만 어떻게 이 툴들이 함께 사용되고, 해킹에 성공하기 위해 어떻게 조화를 이루고 있는지도 다룬다. 침투테스터로 성공하기 위해서는 툴 사용법과 함께 침투 테스트 방법론 또한 기초를 튼튼히 해두어야 한다. 다시 말하자면 침투테스터가 되는 과정에서 툴을 어떻게 사용하는지 배우는 것도 중요하지만 이러한 툴들이 서로 어떻게 영향을 미치고 연관되어 있는지 아는 것도 필요하다.

 

 

이 책은 누구를 위한 책인가?

 

이 책의 목적은 해킹과 침투 테스트를 위한 완만하면서도 전반적인 가이드가 되는 것이다. 여러분을 질리게 하지 않으면서도 해킹이나 침투 테스트에 필요한 과정을 익힐 수 있도록 도와주는 것이 목표다. 이 책을 모두 읽고 나면 여러분은 침투 테스트 과정에 대해 완벽히 이해할 수 있을 것이며, 기본적인 해킹 도구를 사용하는 것에 익숙해질 것이다.

좀 더 명확하게 설명하자면 이 책은 해킹과 침투 테스트에 이제 막 입문한 사람, 경험이 거의 없거나 아주 없는 사람, 큰 그림을 볼 수 없어서 당황해 하는 사람(어떻게 다양한 도구와 단계가 결합되는지) 그리고 공격적 방어에 대한 지식을 확장시키기 원하는 사람을 위한 책이다.

 

 

이 책이 다른 책과 다른 점

 

이 책은 두 가지 면에서 다른 서적과 다르다. 첫 째로, 이 책은 입문자를 위한 책이다. 만약 해킹을 단 한 번도 해본 적이 없거나, 해킹 툴을 사용해본 적은 있지만 그 다음에 무엇을 해야 할지 모르겠다면(또는 툴에서 나온 결과를 어떻게 해석해야 하는지), 이 책은 당신을 위한 책이다. 너무 세부적인 내용으로 독자를 파묻히게 하는 것보다 전반적인 보안 분야에 대해 소개하는 것이 이 책의 목적이다. 따라서 이 책을 한 번 읽었다고 해서 해킹의 모든 분야에서 전문가가 되기는 힘들다. 하지만 책을 읽고 나면 더 고급 내용을 읽어도 충분히 이해할 수 있는 수준이 되어 있을 것이다.

 

따라서 이 책에서는 침투 테스트를 하는 데 필요한 주요 툴을 다룰 것이지만 이러한 툴의 추가적인 기능이나 세부적인 사항에 대해서는 다루지 않을 것이다. 이러한 방법은 기본에 초점을 맞춘다는 측면에서 매우 도움이 될 것이며, 고급 기능이나 버전별로 다른 세세한 부분 때문에 혼동되는 것을 피할 수 있을 것이다. 일단 책을 한번 다 읽고 나면 책에서 설명한 툴의 고급 기능이나 새로운 버전에 대해서도 혼자서 배우는 데 무리가 없을 것이다.

 

 

이 책을 왜 봐야 하는가?

 

--해킹과 침투 테스트에 대해 배우고 싶지만 어디서 시작해야 할지 모르겠다.

--해킹과 침투 테스트에 대해 조금 다뤄보기는 했지만 어떻게 이러한 조각들이 연결되는지 확실하지 않다.

--네트워크와 시스템에 접근 권한을 획득하기 위해 해커와 침투테스터들이 사용하는 툴과 프로세스에 대해 배우고 싶다.

--공격적 방어에 대한 지식을 쌓기 위해 시작하기 좋은 곳을 찾고 있다.

--회사에서 보안 감사 업무가 주어졌다.

--도전을 좋아한다.