이거 불법 아냐
도서+교보Only(교보배송)을 함께 15,000원 이상 구매 시 무료배송
15,000원 미만 시 2,500원 배송비 부과
20,000원 미만 시 2,500원 배송비 부과
15,000원 미만 시 2,500원 배송비 부과
1Box 기준 : 도서 10권
해외주문/바로드림/제휴사주문/업체배송건의 경우 1+1 증정상품이 발송되지 않습니다.
패키지
북카드
키워드 Pick
키워드 Pick 안내
관심 키워드를 주제로 다른 연관 도서를 다양하게 찾아 볼 수 있는 서비스로, 클릭 시 관심 키워드를 주제로 한 다양한 책으로 이동할 수 있습니다.
키워드는 최근 많이 찾는 순으로 정렬됩니다.
작가정보
저자(글) 앤드류 휘테이커
저자 앤드류 휘테이커(Andrew Whitaker)는 자연 과학부 석사를 수료하고 CISSP, CEI, LPT, ECSA, CHFI, CEH, CCSP, CCNP, CCVP, CCDP, CCNA, CCDA, CCENT, MCSE, MCTS, CNE, A+, Network+, Convergence+, Security+, CTP, EMCPA와 같은 관련 자격증을 보유하고 있다. 그는 공인된 전문가이자 강사이며, 침투 테스트와 보안 대응 분야에서 저자로 활동하고 있다. Enterprise InfoSec and Networking에서 근무하고 있으며 트레이닝 캠프에서 윤리적 해킹 과정의 전임 강사를 맡고 있다. 지난 몇 년 동안 윤리적 해킹 과정에서 수백 명에 달하는 세계 곳곳의 보안 전문가를 지도해왔다. 또한 그 과정은 월스트리트 저널, 비즈니스 위크, 샌프란시스코 게이트 등의 주목을 받기도 했다.
저자(글) 키트론 에반스
저자 키트론 에반스(Keatron Evans)는 선임 침투 테스터이자 일리노이 주 시카고에 소재한 Blink Digital Security의 대표다. 침투 테스트, 취약점 평가, 사이버 포렌식 분야에서 11년 넘게 경험을 쌓았으며, 정기적으로 컨설팅 업무를 하고 이따금 네트워크 침투, SCADA 보안, 기타 관련 국가적인 규모의 인프라 보안을 주제로 여러 정부기관과 기업을 대상으로 교육하기도 한다. CISSP, CSSA, CEH, CHFI, LPT, CCSP, MCSE:Security, MCT, Security+ 등을 비롯한 다수의 정보 보안 자격증을 보유하고 있다. 침투 테스트를 하지 않을 때는 트레이닝 캠프와 그 밖의 보안 교육기관에서 윤리적 해킹과 사이버 포렌식 강의를 진행한다.
저자(글) 잭 보스
저자 잭 보스(Jack Voth)는 24년 동안 정보 기술 분야에서 활동해왔다. 그는 CISSP, MCSE, LPT, CEH, CHFI, ECSA, CTP, Security+, ACA, MCT, CEI, CCNA를 비롯해 수많은 관련 산업의 자격증을 보유하고 있다. 전문 분야로는 침투 테스트, 취약점 평가, 경계 보안, 음성/데이터 네트워크 아키텍처가 있다. The Client Server, Inc.의 공동 소유자이자 선임 엔지니어이며, 마이크로소프트, TIA(Telecommunications Industry Association, 미국통신산업협회), EC-Council, ISC/2, CompTIA를 비롯해 주요 조직을 대상으로 6년 넘게 강의를 해오고 있다.
번역 이대엽
역자 이대엽은 현재 책 만드는 일을 하고 있으며, 이따금 IT 관련 서적을 번역하기도 한다. 좋은 책을 펴내거나 직접 우리말로 옮겨 독자에게 전하는 데 크나큰 즐거움을 느끼며, 옮긴 책으로 『자율학습! 안드로이드 프로그래밍』, 『하이버네이트 완벽 가이드』, 『개념을 잡아주는 프로그래밍 정석』이 있다.
목차
- 1장 신용카드 도용
상황 설정
접근법
연쇄 공격
- PDXO 웹사이트 목록화
- 신용카드 데이터베이스 목록화
- 웹사이트에서 신용카드 정보 빼내기
- 암시장에 신용카드 정보 판매하기
- PDXO 웹사이트 해킹하기
- 연쇄 공격 정리
대응책
- 기본 HTTP 응답 헤더를 변경한다
- 개발자 사이트를 외부에서 접근 가능하지 못하게 한다
- SQL Server를 IIS와 같은 장비에 설치하지 않는다
- 웹 폼의 입력 내용을 대상으로 정상성 점검을 한다
- 기본 위치에 IIS를 설치하지 않는다
- 웹사이트를 읽기 전용으로 만든다
- SQL 데이터베이스에서 불필요한 저장 프로시저를 제거한다
- 데이터베이스에 기본 사용자명과 비밀번호를 쓰지 않는다
- 고객을 위한 대응책
결론
2장 인터넷 사용 기록 감청
상황 설정
접근법
세부 정보
연쇄 공격
- 피싱 사기
- 실행파일 설치
- 피싱 사이트 준비
- 미누샤 씨에게 이메일 보내기
- 상사의 컴퓨터 찾아내기
- 상사의 컴퓨터에 연결하기
- WINPCAP
- 패킷 캡처 분석
- 이미지 재구성
- 그 밖의 가능성
- 연쇄 공격 정리
대응책
- 피싱 사기에 대한 대응책
- 트로이 목마 애플리케이션에 대한 대응책
- 패킷 캡처 소프트웨어에 대한 대응책
결론
3장 경쟁사 웹사이트 해킹
상황 설정
접근법
상세 정보
연쇄 공격
- 공격 #1: 테스트
- 공격 #2: 유효한 공격 방법
- 인질 웹사이트에 접근하기
- 모의 해킹 실험
- 인질 웹사이트 수정하기
- 그 밖의 가능성
- 연쇄 공격 정리
대응책
- 자사에 관한 정보를 수동적으로 찾아보는 해커에 대한
- 대응책
- ICMP를 통한 DDoS 공격에 대한 대응책
- HTTP와 기타 프로토콜을 통한 DDoS 공격에 대한 대응책
- 허가되지 않은 사이트 수정에 대한 대응책
- 내부 직원에 의한 침해에 대한 대응책
결론
4장 기업 스파이
상황 설정
접근법
연쇄 공격
- 사전 조사
- 물리적인 접근
- 해킹 수행
- 병원 공격하기
- 그 밖의 가능성
- 연쇄 공격 정리
대응책
- 물리적인 보안 및 접근 시스템 침해에 대한 대응책
- 스캔 공격에 대한 대응책
- 사회공학 기법에 대한 대응책
- 운영체제 공격에 대한 대응책
- 데이터 도난에 대한 대응책
결론
5장 서로 연결된 기업
상황 설정
접근법
연쇄 공격
- 사전조사
- 사회공학 공격
- 심층적인 사전조사
- 적극적인 사전조사
- 익스플로잇 기반 구축
- 익스플로잇 테스트
- 핵 실행
- 루트킷 제작
- 연쇄 공격 종료: 최종 결과
- 그 밖의 가능성
- 연쇄 공격 요약
대응책
- 회사에 관한 정보를 광범위하게 수집하는 해커에 대한 대응책
- 비주얼 IQ의 사회공학 공격에 대한 대응책
- 비주얼 IQ 소프트웨어의 침입에 대한 대응책
- 퀴지 홈 네트워크의 와이파이 공격에 대한 대응책
- 키로거 공격에 대한 대응책
결론
6장 의료기록 유출
상황 설정
접근법
상세 정보
연쇄 공격
- 사회공학 기법 및 편승 기법
- 물리적으로 접근하기
- 크노픽스를 이용한 윈도우 계정 탈취
- 개인 식별 정보나 보호 의료 정보 변경
- 연쇄 공격 정리
대응책
- 사회공학 기법 및 편승 기법
- 자물쇠 따기
- 생체인식 기기 무력화
- PC에 침투하기
결론
7장 소셜 네트워크 사이트 공격
상황 설정
접근법
연쇄 공격
- 가짜 마이스페이스 웹사이트 제작
- 재지정 웹사이트 제작
- 마이스페이스 페이지 생성
- 댓글 달기
- 계정 공격하기
- 해킹한 계정에 로그인하기
- 결과 확인
- 연쇄 공격 정리
대응책
- 소셜 네트워크 사이트를 이용하지 않는다
- 비공개 프로필을 사용한다
- 링크 클릭을 조심한다
- 나를 친구로 등록한 사람에게 내 성과 이메일 주소를
- 물어본다
- 너무 많은 정보를 올리지 않는다
- 사용자명과 비밀번호를 입력할 때 주의한다
- 강력한 비밀번호를 사용한다
- 비밀번호를 자주 변경한다
- 피싱 방지 툴을 사용한다
결론
8장 무선 네트워크 해킹
상황 설정
접근법
상세 정보
- 액세스 포인트를 통한 네트워크 접근
연쇄 공격
- 액세스 포인트에 접속하기
- 마이크로소프트 커베로스 사전인증 공격 수행하기
- 레인보우크랙을 이용한 비밀번호 크랙
- 컨트리 클럽 자료 훔쳐내기
- 연쇄 공격 정리
대응책
- 안전한 액세스 포인트
- 적절한 액티브 디렉터리 구성
- 침입 방지 시스템이나 침입 탐지 시스템을 사용한다
- 주기적으로 백신 소프트웨어를 업데이트한다
- 컴퓨터 네트워크 보안 점검 목록
결론
책 속으로
며칠 전 텔레비전으로 흘러나오는 뉴스를 듣다 보니 한 고등학생이 수천 대에 달하는 좀비 PC를 만들어 각종 인터넷 사이트를 공격, 사이트가 다운되거나 장애를 겪게 한 혐의로 검거됐다는 소식이 전해졌다. 그 학생이 중국에서 만들어진 DDoS 공격 프로그램을 이용해 각종 사이트에 피해를 입힌 이유는 단지 인터넷 모임 회원들에게 해킹 능력을 과시하기 위해서였다고 한다.
이제 고교생 해커라는 말은 뉴스에서 심심찮게 들을 수 있는 표현이 돼버렸다. 이는 과거처럼 시스템을 해킹하는 데 수준 높은 관련 지식이 필요한 것이 아니라 이제는 해킹을 돕는 각종 도구를 누구나 손쉽게 구해서 쓸 수 있기 때문이다. 해킹에 필요한 지식의 수준은 점점 낮아지고 피해의 심각도는 점점 높아지고 있으며, 해킹 사건/사고의 발생 빈도는 점점 잦아지고 피해 규모는 점점 커지고 있다. 하지만 이러한 추세를 비웃기라도 하듯 일반인의 보안의식은 여전히 제자리걸음이다.
이 책은 피닉스라는 한 가상 인물의 행적을 토대로 현실세계에서 일어날 법한 해킹 사례를 실감나게 보여준다. ‘현실세계에서 일어날 법한’이라고 했지만 이 책에서 보여주는 여러 단계에 걸친 해킹 공격, 즉 연쇄 공격은 오히려 비현실적일 만큼 정교하고 교묘하다. 이는 뉴스에 나온 고교생 해킹의 사례처럼 단지 해킹 능력을 과시하기 위해 좀비 PC를 만들어 웹 사이트를 공격하는 수준에만 머무르는 것이 아니라 개인적인 보복이나 금전적인 이득을 목적으로 여러 단계에 걸쳐 특정 목표물을 계획적으로 공격하기 때문이다. 아울러 시나리오에 나오는 상황 설정과 해킹 수법을 전개할 때 보이는 우리네 보안의식과 환경들은 무참할 정도로 허술하기 그지없다.
이 책의 저자들도 언급했지만 보안은 단순히 보안 장비를 조직에 도입한다고 해서 저절로 보장되지 않는다. 각 시나리오에 등장하는 사회공학 기법들은 사람이라는 약한 고리에 의해 조직의 보안체계가 일순간에 허무하게 무너질 수 있음을 잘 보여준다. 치밀하게 준비해서 감행하는 해킹 수법보다 세 치 혀로 인간의 약점을 교묘히 농락하는 사회공학 기법을 보면 ‘설마 이렇게 쉽게 당할라고?’라고 생각할지도 모르지만 여전히 보이스 피싱과 같은 수법이 기승을 부리는 것을 보면 그렇지도 않은 듯하다.
아울러 이 책에서 보여주는 각종 보안사고는 아주 복잡하거나 심층적인 기술/기법만으로 일어나지 않는다. 대신 가장 기본적인 보안 수칙을 따르지 않아서 일어나는 것이 대부분이다. 각종 매체에서 떠들썩하게 다루는 보안사고가 나와는 무관한 일이라 생각할지도 모르지만 보안의식을 견지하지 않고 보안사고가 나와는 전혀 무관한 일이라 치부하는 순간 언제든 책에서 소개하는 시나리오의 희생양이 될 수 있다.
보안사고는 피해의 흔적을 실제로 체감하기가 어려운 까닭에 자칫 간과할 가능성이 높고 피해의 심각성을 따지자면 여느 자연재해로 말미암은 피해규모와 맞먹거나 오히려 능가하기도 한다. 결국 보안사고를 예방하려면 인적/기술적인 측면은 물론이고 개인적인 차원과 조직적인 차원에서 다면적으로 노력해야 한다. 이 책의 각 장에서 소개하는 대응책이 이 같은 보안사고 예방에 도움됐으면 한다.
- 옮긴이의 글 중에서
출판사 서평
소설처럼 읽는 해킹 이야기!
오늘날 각종 보도매체에서 손쉽게 접할 수 있는 보안 사고는 자연재해를 닮아 있다. 즉, 보안 사고는 전혀 예상하지 못했던 지점에서 일어나 엄청난 피해를 입히곤 한다. 하지만 인간이 거스를 수 없는 자연재해와 달리 해킹에 따른 피해는 얼마간의 노력으로 피해 규모를 최소화할 수 있다는 특징이 있다. 그렇다면 우리는 실제 해킹을 누가, 왜, 어떤 방식으로 하는지 알 필요가 있다. <이거 불법 아냐?>에서는 현실 세계에서 일어날 법한 해킹 사례를 각 시나리오별로 실감 나게 풀어헤친다. 이 책의 주인공은 주변에서 흔히 구할 수 있는 해킹 도구와 인간의 마음을 파고드는 수법으로 우리를 손쉽게 불법적인 해킹의 희생양으로 만들 수 있음을 보여준다. 아울러 각 시나리오에서 보여준 해킹 기법에 대한 실무적인 대응책은 해킹 공격으로부터 우리 스스로를 보호하는 데 크나큰 도움이 될 것이다. 독자는 이 책에서 모든 것이 연결돼 있는 오늘날, 누구든, 어떤 조직이든 해킹의 대상이 될 수 있음을 인식하고 앞서 언급한 ‘누가, 왜, 어떤 방식으로’에 대한 해답을 찾을 수 있을 것이다.
오늘날 가장 방어하기 힘든 연쇄 공격의 완벽 지침서: 연쇄 공격의 수행과 예방
오늘날 악질적인 해커가 단 하나의 익스플로잇이나 도구를 쓰는 일은 거의 찾아보기 힘들다. 대신 그들은 목표를 달성하기 위해 다양한 형태의 공격을 연쇄적으로 펼친다. 연쇄 공격은 훨씬 더 복잡다단하고 방어하기 어렵다. 그러한 연쇄 공격을 다루는 보안이나 해킹 서적은 거의 없고 대부분은 아예 다루지도 않는다. 하지만 드디어 오늘날 가장 널리 퍼져 있는 연쇄 공격에 관한 정보를 전부 제공하고 연쇄 공격을 수행하고 예방하는 방법까지 다룬 책이 생긴 것이다.
『이거 불법 아냐?』는 이 같은 고급 해킹 기법을 생생한 사례를 토대로 보여준다. 그러한 사례는 현실 세계의 공격 전략을 반영하고 오늘날 가장 널리 활용되는 공격 도구를 사용하며, 신용카드와 의료정보를 비롯한 실제 가치가 대단히 높은 목표물에 집중한다. 이 책에서는 무선 네트워크부터 물리적인 접근, 사회공학에 이르기까지 해킹의 모든 측면들을 빈틈없이, 그리고 현실적으로 그려내고 있다.
이 책의 대상 독자는 보안, 네트워크, 기타 IT 전문가이며, 저자들은 각 공격을 단계별로 설명하고 기술적인 면과 인간적인 측면을 모두 아우르는 가장 효과적인 대응책을 소개한다.
★ 이 책에서 다루는 내용 ★
■ 사람들을 속일 만한 새로운 피싱 공격
■ 다른 사용자가 방문한 웹 사이트 파악
■ 무선 네트워크를 통한 IT 보안 침해
■ 경쟁자 웹 사이트 공격
■ 기업 스파이 활동과 예방
■ 보안이 적용된 파일 훼손
■ 비밀 의료정보 획득
■ 소셜 네트워크 사이트의 사용자 공격
■ 익스플로잇 제작
■ 기타 등등
기본정보
ISBN | 9788992939805 | ||
---|---|---|---|
발행(출시)일자 | 2011년 05월 18일 | ||
쪽수 | 292쪽 | ||
크기 |
175 * 235
* 30
mm
/ 668 g
|
||
총권수 | 1권 | ||
시리즈명 |
위키북스 해킹 보안 시리즈
|
||
원서명/저자명 | Chained exploits : advanced hacking attacks from start to finish/Whitaker, Andrew |
Klover
e교환권은 적립 일로부터 180일 동안 사용 가능합니다.
리워드는 작성 후 다음 날 제공되며, 발송 전 작성 시 발송 완료 후 익일 제공됩니다.
리워드는 리뷰 종류별로 구매한 아이디당 한 상품에 최초 1회 작성 건들에 대해서만 제공됩니다.
판매가 1,000원 미만 도서의 경우 리워드 지급 대상에서 제외됩니다.
일부 타인의 권리를 침해하거나 불편을 끼치는 것을 방지하기 위해 아래에 해당하는 Klover 리뷰는 별도의 통보 없이 삭제될 수 있습니다.
- 도서나 타인에 대해 근거 없이 비방을 하거나 타인의 명예를 훼손할 수 있는 리뷰
- 도서와 무관한 내용의 리뷰
- 인신공격이나 욕설, 비속어, 혐오발언이 개재된 리뷰
- 의성어나 의태어 등 내용의 의미가 없는 리뷰
리뷰는 1인이 중복으로 작성하실 수는 있지만, 평점계산은 가장 최근에 남긴 1건의 리뷰만 반영됩니다.
구매 후 리뷰 작성 시, e교환권 200원 적립
문장수집
e교환권은 적립 일로부터 180일 동안 사용 가능합니다. 리워드는 작성 후 다음 날 제공되며, 발송 전 작성 시 발송 완료 후 익일 제공됩니다.
리워드는 한 상품에 최초 1회만 제공됩니다.
주문취소/반품/절판/품절 시 리워드 대상에서 제외됩니다.
구매 후 리뷰 작성 시, e교환권 100원 적립