CTF 정보보안 콘테스트 챌린지 북

책 이미지

eBook 미리보기

책 정보

· 제목 : CTF 정보보안 콘테스트 챌린지 북 (Capture The Flag 문제 풀이로 배우는 해킹 테크닉)
· 분류 : 국내도서 > 컴퓨터/모바일 > OS/Networking > 네트워크 보안/해킹
· ISBN : 9791158390433
· 쪽수 : 300쪽
· 출판일 : 2016-07-29

책 소개

CTF란 정보 기술 문제를 적절한 방식으로 처리하고, 각 문제를 풀면서 획득한 점수를 통해 승패를 결정하는 경기다. 이 책에서는 컴퓨터 보안 기술 경연 컨테스트인 CTF(Capture The Flag)에 출전하기 위한 지식과 기술을 배운다.

▣ [00부] 서론

01 _ CTF란?
0.1.1 _ CTF란 무엇일까?
0.1.2 _ CTF에서 출제되는 문제
0.1.3 _ CTF 경기 형식
02 _ CTF 참가
0.2.1 _ CTF를 찾자
0.2.2 _ CTF에 참가하자
0.2.3 _ 대회 종료 후 Writeup을 읽자
03 _ 주의점
04 _ 법률
0.4.1 _ 부정 액세스란?
0.4.2 _ 법률 고려
0.4.3 _ 혹시 취약점을 발견한다면
05 _ CTF를 해보자

▣ [01부] 바이너리 분석

01 _ 1단계: 바이너리 분석이란?
1.1.1 _ 바이너리란 무엇인가?
1.1.2 _ 바이너리 분석에 대한 인식
1.1.3 _ 바이너리를 분석한다는 것의 의의
1.1.4 _ CTF의 바이너리 문제
1.1.5 _ 바이너리 분석과 윤리
1.1.6 _ 이 책의 대상
1.1.7 _ 정리
02 _ 2단계 : 바이너리 분석 환경 구축
1.2.1 _ 분석용 도구 소개
1.2.2 _ 환경 구축
1.2.3 _ 정리
03 _ 3단계: 바이너리 분석 입문
1.3.1 _ 바이너리 분석 절차
1.3.2 _ 표층 분석
1.3.3 _ 동적 분석
1.3.4 _ 정적 분석
1.3.5 _ CTF에서의 바이너리 분석
1.3.6 _ 정리

▣ [02부] PWN

01 _ 1단계: pwn이란?
2.1.1 _ pwn의 유래와 의미
2.1.2 _ pwn 문제의 흐름
2.1.3 _ 도구 소개
2.1.4 _ 실행 환경
02 _ 2단계: 사전 조사
2.2.1 _ 로컬 익스플로잇과 원격 익스플로잇
2.2.2 _ 실행 파일의 보안 메커니즘 확인
03 _ 3단계: 취약점 탐색
2.3.1 _ 방침
2.3.2 _ 사용자 입력을 처리하는 함수
2.3.3 _ printf 관련 함수의 포맷 스트링
04 _ 4단계: 익스플로잇
2.4.1 _ 스택 기반 버퍼 오버플로우
2.4.2 _ 포맷 스트링 버그
05 _ 5단계: pwn! pwn! pwn!
2.5.1 _ 익스플로잇 코드
2.5.2 _ ASLR 우회

▣ [03부] 네트워크

01 _ 1단계: CTF에서의 네트워크 분야를 알자
3.1.1 _ 어떤 문제가 출제되는가
3.1.2 _ 네트워크 분야의 문제를 풀기 위해 필요한 것
3.1.3 _ 이번 장에서 다루는 내용
02 _ 2단계: 네트워크 프로토콜
3.2.1 _ 네트워크란?
3.2.2 _ 네트워크 프로토콜
3.2.3 _ 네트워크 계층과 데이터 캡슐화
03 _ 3단계: 패킷 분석
3.3.1 _ 패킷이 기록된 파일
3.3.2 _ 와이어샤크를 이용한 패킷 분석
3.3.3 _ 와이어샤크 - 분석 기능을 이용한 패킷 분석
3.3.4 _ 와이어샤크 - 조건에 맞는 패킷 표시
3.3.5 _ 와이어샤크를 이용해 실제 CTF 문제를 풀어보자
3.3.6 _ 파이썬 프로그래밍 언어를 이용한 패킷 분석
3.3.7 _ 스캐피를 이용한 문제 풀이
3.3.8 _ 그 밖의 다른 도구를 이용한 패킷 분석
04 _ 4단계: 패킷 송수신
3.4.1 _ Netcat을 이용한 송수신
3.4.2 _ 소켓을 이용한 송수신
3.4.3 _ 스캐피를 이용한 패킷 송수신

▣ [04부] 웹 문제

01 _ 1단계: 웹 문제란?
4.1.1 _ 웹 문제의 특징
4.1.2 _ 웹 문제의 개념
02 _ 2단계: 임의 코드 실행 취약점에 대해
4.2.1 _ 임의 코드 실행 취약점이란?
4.2.2 _ 임의 코드를 실행하기 위해
4.2.3 _ 실제 공격
03 _ 3단계: 각종 취약점 이용
4.3.1 _ 돌파구 찾기
4.3.2 _ 운영체제 명령어 인젝션
4.3.3 _ 파일 권한 미비
4.3.4 _ 각 언어별 고유 처리
4.3.5 _ 알려진 취약점 이용
04 _ 4단계: 셸을 탈취한 후
4.4.1 _ FLAG 획득
4.4.2 _ 권한 및 환경 파악

▣ [05부] SQL 인젝션

01 _ 1단계: SQL 인젝션이란?
5.1.1 _ 준법 정신
5.1.2 _ 데이터베이스 조작을 위한 언어, SQL
5.1.3 _ SQL 인젝션으로 할 수 있는 것
02 _ 2단계: 공격 전에
5.2.1 _ SQL 인젝션을 하기 전에
5.2.2 _ SQL 인젝션 가능 여부 확인
5.2.3 _ SQL 구문의 어디에 인젝션이 되는지 추측
5.2.4 _ 동작 환경 확인
03 _ 3단계: 공격해보기
5.3.1 _ SELECT 구문에서 인젝션
04 _ 4단계: 발전
5.4.1 _ INSERT 문 인젝션

▣ [06부] 부록

01 _ 바이너리 분석 팁
부록 1.1 _ 분석 방해 기능을 찾아내고 우회하는 방법
부록 1.2 _ 바이트코드 분석
부록 1.4 _ 바이너리 문제를 풀기 위한 프로그래밍 기법
부록 1.5 _ 정리
02 _ 셸 코드
부록 2.1 _ 셸 코드란?
부록 2.2 _ 셸 코드 기초 지식
부록 2.3 _ 셸 코드를 만들어보자
부록 2.4 _ 셸 코드 압축

저자소개

타케사코 요시노리 (지은이) 정보 더보기

2015년 9월 주식회사 리쿠르트 마케팅 파트너즈 기술 연구원 취임. SECCON 실행위원장. 메모장에 어셈블러 시를 쓰는 모임에 참가하고 있다. 처음 만져본 컴퓨터는 FM TOWNS의 32비트. 취미는 CPU 명령어 세트 매뉴얼 바라보기. 인쇄 가능한 문자로 기계어 프로그래밍을 하거나 문자와 기계어의 의미를 음미하는 것을 좋아한다.

펼치기

타케사코 요시노리의 다른 책 >

히로타 카즈키 (지은이) 정보 더보기

웹 취약점 진단 엔지니어. 보안 캠프 중앙대회 2012에 참가했으며 2015년 캠프에서는 강사로 참여했다. 처음으로 발견한 취약점은 세션 고정.

펼치기

히로타 카즈키의 다른 책 >

호요우 타카아키 (지은이) 정보 더보기

NTT 커뮤니케이션즈 소속. 학생 시절에 참가한 보안 캠프를 기회로 CTF를 알게 됐다. CTF 문제 중에서는 패킷을 분석하는 네트워크와 포렌직 분야의 문제를 좋아한다.

펼치기

호요우 타카아키의 다른 책 >

미노우 케이스케 (지은이) 정보 더보기

2016년 소프트뱅크 테크놀로지 주식회사에 입사. 학생 시절부터 정보 보안과 컴퓨터 네트워크쪽으로 활동하며 보안 캠프의 강사와 CTF for Beginners의 CTF 문제 출제, 테스트 네트워크 설계 구축 등을 수행했다. 현재는 정보 보안 감시 업무에 종사하고 있다.

펼치기

미노우 케이스케의 다른 책 >

야기하시 유우 (지은이) 정보 더보기

주로 보안 진단 업무를 수행하는 보안 컨설턴트. 보안 캠프 전국대회 2013에 참가했으며 2015년도에는 강사로 활약했다. 가장 흔하게 발생하는 취약점인 XSS에 매혹돼 보안 업무를 시작했다.

펼치기

야기하시 유우의 다른 책 >

우스이 토시노리 (지은이) 정보 더보기

2015년 일본 전신전화 주식회사 입사. 보안 플랫폼 연구소 소속(현직). CTF for 비기너즈 바이너리 담당. CTF에서의 경험을 바탕으로 공격 코드 탐지 기술과 악성 코드 분석 기술을 연구하고 있다.

펼치기

마에다 유우토 (지은이) 정보 더보기

보안 캠프 중앙 대회 2012 웹 클래스에 참가해 정보 보안에 흥미를 가짐. 같은 시기에 CTF의 존재를 알게 되고 이후 CTF에 적극적으로 참가하는 중. 전문 분야는 웹이지만 CTF를 접하면서 다양한 장르의 문제에 관심을 가지고 있음.

펼치기

미무라 사토시 (지은이) 정보 더보기

CTF for 비기너즈 대표. '기술로 주위를 즐겁게 하고 싶다'고 생각하며 매일 관심이 가는 대로 커널단부터 사용자단까지 다양한 계층에서 놀고 있음. 최근 dit사의 CAPLogger 개발을 담당. 2015년 보안 캠프 강사.

펼치기

양현 (옮긴이) 정보 더보기

AI 스타트업 기업에서 기술적인 보안뿐 아니라 보안 정책까지 폭넓게 담당하고 있다. 그 외 Rust를 이용한 마이크로 서비스를 개발해 AWS ECS로 구축하는 등 클라우드 프로젝트에도 참가하고 있다. 회사 업무 외에도 Rust를 이용해 IoT 보안 솔루션을 개발하거나 서적을 번역하는 등 다양하게 활동하고 있다.

펼치기

양현의 다른 책 >