【한글자막】 화이트 해킹 101: 윤리적 해킹 기초부터 배우기!
블랙햇 해커처럼 컴퓨터 시스템을 해킹하고, 보안 전문가처럼 컴퓨터 시스템을 보호하는 윤리적/화이트 해커가 되는 방법
Description
이 강의는 유데미 강좌 중 "Learn Ethical Hacking From Scratch"와 동일한 강의이며, 한국어 자막이 기존 강의와 다르게 전문 한글 자막이 제공됩니다. 또한 강의 내용에 대한 질문은 Q&A에 영어로 남겨주시면 오리지널 강사님으로부터 답변을 받으실 수 있습니다. 강의 내용 외의 문의는 한국어로 남겨주셔도 되며, 웅진씽크빅 글로벌에서 매일 확인하여 답변드리고 있으니 편하게 질문해주세요! :)
윤리적 해킹 (화이트 해킹)에 관한 종합 과정에 오신 것을 환영합니다! 이 과정은 학습자에게 사전 지식이 없다는 가정하에 진행됩니다. 과정을 마치면 블랙햇 해커처럼 컴퓨터 시스템을 해킹하고 보안 전문가처럼 컴퓨터 시스템을 보호할 수 있게 됩니다.
이 과정은 매우 실용적으로 구성되어 있지만 이론적인 내용을 배제하지는 않습니다. 먼저 윤리적 해킹의 기초를 다룬 후 다양한 모의해킹 분야를 세부적으로 다루고 필요한 소프트웨어(윈도우, 리눅스, 맥 OS X 기반)를 설치합니다. 그리고 바로 해킹을 시작합니다. 네트워크, 서버, 클라이언트, 웹사이트 등 다양한 시스템을 분석 및 이용하여 예제를 통해 모든 내용을 배우게 됩니다. 단조로운 이론적 강의는 제공하지 않습니다.
이 과정은 여러 섹션으로 나뉘어 있으며 각 섹션에서 타겟 시스템의 작동 방식, 이 시스템의 약점, 시스템을 해킹하기 위해 이 약점을 실제로 이용하는 방법을 배우게 됩니다. 과정을 마치면 대부분의 해킹 또는 모의해킹 분야에 관해 탄탄한 기본 지식을 갖추게 됩니다. 또한, 과정에서 설명한 공격을 탐지 및 방지하며 이러한 공격으로부터 시스템과 나 자신을 보호하는 방법도 배우게 됩니다.
이 과정은 핵심 섹션 4개로 나뉩니다.
1. 네트워크 해킹 - 이 섹션에서는 유선 및 무선 네트워크의 보안을 테스트하는 방법을 다룹니다. 먼저, 네트워크 기초, 네트워크 작동 방식, 기기가 서로 통신하는 방법을 배웁니다. 그런 다음 3개의 세부 섹션을 다룹니다.
연결 전 공격: 이 세부 섹션에서는 네트워크 패스워드를 알지 못해도 타겟 네트워크에 연결하지 않은 채 실행할 수 있는 다양한 공격에 대해 배웁니다. 주변의 네트워크에 관한 정보를 수집하고 연결된 기기를 찾고 연결을 제어(기기와 네트워크의 연결 거부/허용)하는 방법을 배웁니다.
액세스 확보: 주변의 네트워크에 관한 정보를 수집하고 나면, 이 세부 섹션을 통해 WEP, WPA, WPA2 중 무엇을 사용하든 키를 알아내고 타겟 네트워크의 패스워드를 확보하는 방법을 배웁니다.
연결 후 공격: 키를 확보하고 나면 타겟 네트워크에 연결할 수 있습니다. 이 세부 섹션에서는 여러 가지 강력한 기법을 이용해 연결된 기기에 관한 포괄적인 정보를 수집하고, 인터넷에서의 모든 활동을 확인하고(예: 로그인 정보, 패스워드, 방문한 URL, 이미지, 동영상), 요청을 리디렉션하고, 로딩된 페이지에 악성 코드(evil code)를 주입하는 방법 등을 배웁니다. 이러한 공격은 무선 네트워크와 유선 네트워크 모두에 작동합니다. 가짜 Wi-Fi 네트워크를 생성하고 사용자 연결을 유도하여 연결된 클라이언트를 대상으로 위의 모든 기법을 이용하는 방법도 배웁니다.
2. 액세스 확보 - 이 섹션에서는 컴퓨터 시스템을 완전히 제어하거나 해킹하는 두 가지 접근법을 배웁니다.
서버 측 공격: 이 세부 섹션에서는 사용자 상호 작용 없이 컴퓨터 시스템에 대해 완전한 액세스를 확보하는 방법을 배웁니다. 타겟 컴퓨터 시스템에 관해 운영 체제, 개방된 포트, 설치된 서비스와 같은 유용한 정보를 수집한 다음, 이 정보를 이용해 약점과 취약점을 찾고 이용하여 타겟에 대한 완전한 제어를 확보하는 방법을 배웁니다. 끝으로, 자동으로 서버에서 취약점을 찾고 발견한 결과를 이용해 다양한 유형의 보고서를 생성하는 방법을 배웁니다.
클라이언트 측 공격 - 타겟 시스템에 약점이 없으면 유일한 해킹 방법은 사용자와 상호 작용하는 것입니다. 이 세부 섹션에서는 타겟 사용자가 인지하지 못한 채 시스템에 백도어를 설치하도록 유도하는 방법을 배웁니다. 이를 위해 소프트웨어 업데이트를 하이재킹하거나 즉시 다운로드를 백도어링합니다. 이 섹션에서는 소셜 엔지니어링을 이용해 보안 시스템을 해킹하는 방법도 배웁니다. 소셜 계정, 친구, 이메일 등, 시스템 사용자에 관한 포괄적인 정보를 수집합니다. 그리고 일반 파일(예: 이미지, pdf) 백도어링을 통해 미끼 파일을 생성하고, 수집된 정보를 이용해 타겟의 친구나 상사 같은 흔히 연락하는 이메일 계정에서 이메일이 발송된 것처럼 보이도록 스푸핑하여 미끼 파일을 실행하도록 소셜 엔지니어링을 실행합니다.
3. 후속 이용(exploit) - 이 섹션에서는 지금까지 침해한 시스템과 상호 작용하는 방법을 배웁니다. 파일 시스템에 액세스(읽기/쓰기/업로드/실행)하고, 액세스를 유지 관리하고, 타겟에 스파이 활동을 실행하고(예: 키스트로크 캡처, 웹캠 켜기, 스크린샷 생성), 타겟 컴퓨터를 피벗으로 이용해 다른 시스템을 해킹하는 방법을 배웁니다.
4. 웹사이트/웹 애플리케이션 해킹 - 이 섹션에서는 웹사이트 작동 방식, 타겟 웹사이트에 관한 정보를 수집하는 방법(예: 웹사이트 소유자, 서버 위치, 사용된 기술), 다음과 같은 위험한 취약점을 찾고 이용하여 웹사이트를 해킹하는 방법을 배웁니다.
파일 업로드
코드 실행
로컬 파일 삽입
원격 파일 삽입
SQL 주입
사이트 간 스크립팅(XSS)
각 섹션을 마치고 나면 설명한 공격을 탐지 및 방지하고 이러한 공격으로부터 시스템과 자신을 보호하는 방법을 배우게 됩니다. 이 과정에서 다루는 모든 기법은 실용적이며 실제 시스템에 작동합니다. 먼저 각 기법의 전반적인 메커니즘을 이해한 다음, 이를 이용해 타겟 시스템을 해킹하는 방법을 배웁니다. 과정을 마치고 나면 이러한 기법을 수정해 더욱 강력한 공격을 실행하고 다양한 상황과 시나리오에 맞게 적용하는 역량을 갖추게 됩니다.
이 과정과 관련해 연중무휴 지원을 받을 수 있습니다.
질문을 (영어로) Q&A 섹션에 남겨주시면 15시간 이내 답변해 드립니다.
참고:
이 과정은 오로지 교육 목적으로 마련되었으며 모든 공격은 저의 랩에서 또는 테스트가 허용된 시스템을 대상으로 실행되었습니다.
이 과정은 전적으로 자이드 사비(Zaid Sabih)와 zSecurity의 제품이며 다른 어떠한 조직도 이 과정이나 인증 시험과 관련이 없습니다. Udemy에서 과정 수료 인증을 받게 되는 것을 제외하고는, 다른 어떠한 조직도 아무런 관련이 없습니다.
What You Will Learn!
- 135개 이상의 윤리적 해킹 및 보안 동영상
- 기초부터 고급-중급 레벨까지 학습 가능
- 윤리적 해킹, 윤리적 해킹의 분야, 다양한 해커 유형에 관해 배우기
- 해킹 랩 및 필요한 소프트웨어 설치(윈도우, OS X, 리눅스 기반)
- Wi-Fi 및 유선 네트워크를 해킹하고 보호하기
- 웹사이트 작동 방식을 이해하며, 웹 애플리케이션 취약점을 찾고 이를 이용하여 웹사이트를 해킹하는 방법 이해하기
- Metasploit, Aircrack-ng, SQLmap 등 30개 이상의 해킹 도구 이용하기
- 취약점을 찾고 이를 이용하여 서버 해킹하기
- 클라이언트 측 및 소셜 엔지니어링을 이용해 보안 시스템 해킹하기
- 과정에서 설명한 모든 공격으로부터 시스템 보호하기
- 칼리 리눅스 (Kali Linux) 설치 및 이용하기 - 모의해킹 운영 체제
- 리눅스 기초 배우기
- 리눅스 명령어 및 단말 이용 방법 배우기
- 네트워크 해킹/모의해킹 배우기
- 네트워크 기초와 네트워크 내에서 기기가 상호 작용하는 방식 배우기
- 키를 모르는 상태에서 네트워크에 공격 실행하기
- 패스워드를 모르는 상태에서 Wi-Fi 연결 제어하기
- 인터넷 연결 및 클라이언트 스파이를 이용해 가짜 Wi-Fi 네트워크 생성하기
- 네트워크 및 연결된 클라이언트에 관한 세부 정보(예: OS, 포트) 수집하기
- 다양한 방법으로 WEP/WPA/WPA2 암호화 풀기
- ARP 스푸핑/ARP 포이즈닝 (ARP Spoofing / ARP Poisoning)
- 다양한 중간자(MITM) 공격 실행하기
- 네트워크에서 클라이언트가 액세스한 계정에 액세스하기
- 네트워크 트래픽을 스니핑하고 분석하여 패스워드, 쿠키, URL, 동영상, 이미지 등 중요한 정보를 추출하기
- 네트워크 트래픽을 가로채고 즉시 수정하기
- 동일한 네트워크에 연결된 기기 찾기
- 동일한 네트워크에 연결된 클라이언트가 로딩한 페이지에 JavaScript 주입하기
- DNS 요청을 어떠한 목적지로든 리디렉션하기(DNS 스푸핑)
- 과정에서 설명한 공격으로부터 네트워크 보호하기
- 최대한의 보안을 위해 라우터 설정 수정하기
- 네트워크에서 의심스러운 활동 찾기
- 트래픽을 암호화하여 MITM 공격 방지하기
- 컴퓨터 시스템에서 개방된 포트, 설치된 서비스, 취약점 찾기
- 서버 측 공격을 이용해 서버 해킹하기
- 버퍼 오버플로 및 코드 실행 취약점을 이용하여 시스템 제어 확보하기
- 클라이언트 측 공격을 이용해 시스템 해킹하기
- 가짜 업데이트를 이용해 시스템 해킹하기
- 즉각적인 다운로드 백도어링으로 시스템 해킹하기
- 탐지되지 않는 백도어 생성하기
- 일반 프로그램 백도어링하기
- 사진, pdf 등 어떤 파일 유형이든 백도어링하기
- 이메일, 소셜 미디어 계정, 친구 등 사용자에 관한 정보 수집하기
- 소셜 엔지니어링을 이용해 보안 시스템 해킹하기
- 계정 패스워드를 모르는 상태에서 어떤 이메일 계정에서든 이메일 전송하기
- 멀웨어 분석하기
- 탐지되지 않는 멀웨어 수동으로 탐지하기
- 침해된 시스템에서 파일을 읽고 쓰고 다운로드하고 업로드하고 실행하기
- 침해된 시스템에서 키스트로크 캡처하기
- 침해된 컴퓨터를 피벗으로 이용해 다른 시스템 해킹하기
- 웹사이트와 웹 애플리케이션의 작동 방식 이해하기
- 브라우저가 웹사이트와 통신하는 방식 이해하기
- 웹사이트에 관한 민감한 정보 수집하기
- 타깃 웹사이트에서 사용된 서버, 기술, 서비스 찾기
- 특정 웹사이트와 연결된 이메일 및 민감한 데이터 찾기
- 웹사이트와 연결된 서브도메인 찾기
- 타겟 웹사이트와 연결된 게시되지 않은 디렉터리 및 파일 찾기
- 타겟 웹사이트와 동일한 서버에서 호스팅되는 웹사이트 찾기
- 파일 업로드 취약점을 이용하여 타깃 웹사이트에 대한 제어 확보하기
- 코드 실행 취약점을 찾아 이를 이용하고 해결하기
- 로컬 파일 삽입 취약점을 찾고 이를 이용하고 해결하기
- SQL 주입 취약점을 찾고 이를 이용하고 해결하기
- SQL 주입을 이용해 로그인 폼을 우회하고 관리자로 로그인하기
- SQL 주입을 이용하여 데이터베이스, 테이블 및 민감한 정보(예: 사용자 이름, 패스워드) 찾기
- SQL 주입을 이용해 서버에서 파일 읽기/쓰기
- SQL 쿼리를 올바르게 작성하여 SQL 주입을 방지하는 방법 배우기
- 반사형 XSS 취약점 찾기
- 저장형 XSS 취약점 찾기
- XSS 취약점을 이용해 BeEF에 공격대상 후킹하기
- XSS 취약점을 해결하고 사용자 입장에서 이 취약점으로부터 보호하기
- MITM 및 ARP 스푸핑 공격 찾기
Who Should Attend!
- 윤리적 해킹/모의해킹에 대해 배우려는 모든 사람
- 해커가 컴퓨터 시스템을 해킹하는 방법에 관심이 있는 모든 사람
- 해커로부터 시스템을 보호하는 방법에 관심이 있는 모든 사람