서브메뉴
검색
본문
Powered by NAVER OpenAPI
-
-
실전 모의 해킹과 침투 테스트
저자 : 토마스 빌헬름
출판사 : 에이콘출판
출판년 : 2015
정가 : 40000, ISBN : 9788960776456
책소개
모의 침투 테스트에 대한 전반적인 절차와 구체적인 방법 등의 내용을 다룬 책이다. 자세한 이론적인 내용뿐만 아니라 초보자도 테스트 랩을 구성해 침투 테스트를 쉽게 실습할 수 있다. 기존 책에서 이미 많이 다룬 웹 기반 공격(SQL 인젝션, 파일 업로드 등)보다는 애플리케이션 취약점을 악용하거나 시스템 권한을 획득하는 등 최근 공격 트렌드에 맞춘 네트워크 및 취약점 기반 모의 해킹에 대한 내용을 설명했다. 또한 침투 테스트에 대한 결과 보고서를 작성하는 내용도 다루기 때문에 침투 테스트의 처음부터 끝까지의 내용을 모두 포함하고 있다고 할 수 있다.
목차
1장. 소개
소개
개정판에서 달라진 점
설정하기
모의 침투 수행하기
내부 모의 침투
개인 기술
다운로드 링크와 지원 파일
HackingDojo.com
가상 이미지
하드웨어 설정 파일
정리
2장. 윤리와 해킹
해킹 허가
윤리 강령 규정[(ISC)2]
윤리적이어야 하는 이유
블랙햇 해커
화이트햇 해커
그레이햇 해커
윤리 규범
자격증
컴퓨터 범죄 관련 법
여러 종류의 법
컴퓨터 범죄와 공격의 종류
해킹을 위한 사전 승인
비밀 협정
기업의 의무
계약자의 의무
정리
참고 자료
3장. 랩 구성
소개
침투 테스트 랩의 대상
해킹을 배우면서 직면하는 문제
실제 환경 시나리오
턴키 시나리오
라이브 CD는 무엇인가?
가상 네트워크 침투 테스트 랩
간단하게 유지
가상화 소프트웨어
침투 테스트 데이터 보호
암호화 스키마
침투 테스트 시스템 보호
모바일 보안 문제
무선 랩 데이터
고급 침투 테스트 랩
하드웨어 고려 사항
하드웨어 구성
운영체제와 애플리케이션
악성코드 분석: 바이러스와 웜
기타 대상 아이디어
정리
참고 자료
4장. 방법론과 프레임워크
소개
정보 시스템 보안 평가 프레임 워크
기획과 준비: 1단계
평가: 2단계
보고, 정리, 아티펙트 제거: 3단계
오픈소스 보안 테스트 방법론 안내서
업무 규칙
채널
모듈
정리
참고 자료
5장. 침투 테스트 프로젝트 관리
소개
침투 테스트 척도
정량분석법, 정성분석법, 혼합분석법
침투 테스트 관리 기법
프로젝트 관리의 지식 체계
프로젝트 팀 구성원
프로젝트 관리 기법
단독 침투 테스트
시작 단계
프로세스 계획 단계
실행 단계
종료 단계
관찰과 조정
데이터 아카이빙
데이터를 보관해야 하는가?
문서 보안
테스트 환경 정리
테스트 환경 보관
시스템 이미지 생성과 사용
‘깨끗한 테스트 환경’ 만들기
다음 침투 테스트 계획
위험 관리 기록
지식 데이터베이스
사후 강평
정리
참고 자료
6장. 정보 수집
소개
수동적 정보 수집
웹 보유
기업 자료
whois와 DNS 열거
추가적인 인터넷 자료
능동적 정보 수집
DNS 문의
이메일 계정
주변 네트워크 확인
네트워크 조사
정리
참고 자료
7장. 취약점 확인
소개
포트 스캐닝
대상 확인
UDP 스캐닝
TCP 스캐닝
경계 회피 스캐닝
시스템 확인
능동적 OS 핑거프린팅
수동적 OS 핑거프린팅
서비스 확인
배너 그래빙
알려지지 않은 서비스 열거
취약점 확인
정리
8장. 취약점 공격
소개
자동화 도구
엔맵 스크립트
기본 로그인 스캔
OpenVAS
JBroFuzz
메타스플로잇
익스플로잇 코드
인터넷 사이트
정리
9장. 로컬 시스템 공격
소개
시스템 익스플로잇
내부 취약점
민감한 데이터
메타프리터
셸과 리버스 셸
넷캣 셸
넷캣 리버스 셸
암호화된 터널
호스트 방화벽 추가(옵션)
SSH 리버스 셸 구성
공개 키/개인 키 구성
암호화된 리버스 셸 시작
기타 암호화와 터널 방법
정리
10장. 권한 상승
소개
암호 공격
원격 암호 공격
로컬 암호 공격
사전 공격
네트워크 패킷 스니핑
사회공학 기법
유인하기
피싱
프리텍스팅
로그 데이터 조작
사용자 로그인
애플리케이션 로그
파일 숨기기
플레인 사이트에서 파일 숨기기
파일 시스템을 이용한 파일 숨기기
윈도우에서 파일 숨기기
정리
참고 자료
11장. 지원 시스템 공략
소개
데이터베이스 공격
네트워크 공유
정리
12장. 네트워크 공략
소개
무선 네트워크 프로토콜
WPA 공격
WEP 공격
단순 네트워크 관리 프로토콜(SNMP)
정리
13장. 웹 애플리케이션 공격 기법
소개
SQL 인젝션
크로스사이트 스크립팅
웹 애플리케이션 취약점
자동화 도구
정리
14장. 결과 보고
소개
어떤 것을 보고해야 하는가?
범위 밖의 이슈
결과물
해결책
원고 준비
보고서 초안
상호 검토
사실 확인
척도
최종 보고
상호 평가
문서화
정리
참고 자료
15장. 경력으로서의 해킹
소개
진로
네트워크 아키텍처
시스템 관리
애플리케이션과 데이터베이스
자격증
고급 자격증
기술과 벤더 집중 자격증
협회와 조직
전문 조직
컨퍼런스
지역 커뮤니티
메일링 리스트
모두 합치기
이력서
직업 목록
연봉 조사
개인 문서
정리
참고 자료