본문 바로가기
스터디/멘토링

[2020 하반기] 09/26 멘토링 1주차

by 맑은청이 2020. 9. 26.
728x90
반응형

자기소개 

 

- 부산대학교 정보 컴퓨터 공학과 3학년.

- 1,2학년 때 학점 2점대를 전전하며 2020년 1월 1일 부터 C언어 책을 다시 펼치며 공부를 시작함. 

- 부족한 프로그래밍 실력으로 인해 기초를 쌓고 난 후 보안 공부를 시작했으며 현재도 열심히 공부중임.

- 사실 멘토링을 할 만큼 대단한 실력을 아니지만 정보력이 엄청나고 스스로도 공부를 하기 위해 멘토링을 자처함.

(회장님이 매우 기뻐하심)

- 현재에서 가장 가까운 목표 : 내일 BOB 합격하기

 

 


 

 

 

 

 

각자 성의있는 자기소개하기!

-학번, 나이, 보안에 관심을 가지게 된 계기, 취미, 걱정거리, 좋아하는 과목 등등

 

 

 

 

 

 

 

 


스터디 목표 

- 보안에 대한 전반적인 맛보기

- 스스로 해결할 수 있는 능력 키우기

- 워게임 한 사이트 다 풀어보기 

- 함께 공부하는 인프라 생성

 

이해를 못해도 괜찮아, Top-Down 이니깐

 

 

 

 


 

보안은 컴퓨터 과학에서 가장 어려운 부분이다.

 

전체적인 컴퓨터의 구조와 운영체제를 전반적으로 통달해야 실력 좋은 해커가 될 수 있기 때문이다. 

 

 

그럼 보안은 천재들만 하는 것일까? 

 

 

 

아니다!

 

 

컴퓨터도 보안도 꾸준히 하는 사람이 가장 잘한다.

-> 고1때 수2까지 예습한 애가 수학을 절대적으로 잘하는 게 아니듯이 저학년 때 일때는 그럴지 몰라도 결국엔 노력하는 사람이 이긴다. 

 

 

 

"해킹 == 개발" 

 

 

개발을 할 줄 알아야 해킹을 할 수 있기 때문에 프로그래밍 공부를 게을리 해서는 안된다. 

그래서 해킹을 시작할 때는 1번. 프로그래밍 공부. 

 

언어로는 C, C++, Java, Python 중 두 개는 정도 자신있는 언어로 만드는 것이 좋다. 

또한 공부를 할 때 어셈블리어와 기계어를 보며 편식을 해서는 안된다. 

보안 공부를 할 때도 프로그래밍 공부는 지속적으로 병행해야한다. 

 

프로그래밍 입문에 도움되는 사이트를 소개하겠다. 

 

 

 

코드업

codeup.kr/problemsetsol.php?psid=23

 

문제집 / 기초 100제

 

codeup.kr

여기서 기초 100제를 푸는 걸 추천한다. 

 

코드업 100제를 끝내고 나면 백준(www.acmicpc.net/)이나 프로그래머스(programmers.co.kr/learn/challenges?tab=algorithm_practice_kit)를 풀어본다.

 

 

코드케데미

 

www.codecademy.com/learn/learn-html

 

HTML Tutorial: Learn HTML For Free | Codecademy

Learn basic HTML, including how to place text on a page, add images & videos, and share data in HTML tables. This is the first step in creating web pages to help you tweak your website and more.

www.codecademy.com

영어이긴 하지만 웹 공부하는데 도움이 된다. 

 

 

 

생활코딩

 

opentutorials.org/course/1

 

생활코딩

hello world 생활코딩의 세계에 오신 것을 환영합니다. 생활코딩은 일반인들에게 프로그래밍을 알려주는 무료 온라인, 오프라인 수업입니다.  어떻게 공부할 것인가를 생각해보기 전에 왜 프로그

opentutorials.org

이곳에 WEB 파트는 다 수강하는 것이 좋다. 

이 부분은 웹 해킹과 연결된다.

 

 

 

 


컴퓨터를 공부하더라도 최소한의 보안은 알아야한다. == 시큐어 코딩! 

 

웹사이트 만들 때 -> 회원 정보 유출 

코드 짤 때 -> 버퍼 오버플로우

예약 서비스 -> 회원 정보 유출

등등 

 

미래에 AI, 블록체인, 양자컴퓨터, 포스트 코로나 시대로 보안은 필수 불가결한 부분이 될 것. 

 

 

 


해킹의 종류 

 

 

1 시스템 해킹

: 포너블(Pwnable) 이라고도 불린다. 

운영체제의 취약점, 설치된 프로그램 내의 취약점 등의 위협을 이용해서 관리자 권한을 따내는 해킹.

진입 장벽이 꽤 높은 편이다. 

이를 공부하면서 컴퓨터 구조와 운영체제를 함께 공부하는 것이 좋다. 

 

->BOF, Fuzzing, 메모리해킹(동적분석), 역어셈블러 등등...

 

워게임 사이트 

pwnable.kr/

 

http://pwnable.kr/

   there are flag   files corresponding to each challenges (similar to CTF), you need to read it and submit to pwnable.kr to get the corresponding point. in order to read the flag file, you need some skills regarding programming, reverse-engineering, bu

pwnable.kr

www.hackerschool.org/Sub_Html/HS_FTZ/html/ftz_main.html

 

+해커스쿨 커뮤니티+ by HACKERSCHOOL.org

 

www.hackerschool.org

 

▷워게임(War Game)이란?

: 해킹은 불법이기 때문에 합법적으로 해킹을 연습할 수 있게 CTF 형식으로 만들어진 사이트.

국내외 수많은 워게임 사이트가 존재.

 

 

 

2. 리버스 엔지니어링

: 역공학이라고 불리며 프로그램 등을 분석하여 원하는 동작을 만들어 내는 것

어셈블리어를 봐야하고 윈도우와 리눅스 등등의 OS 를 익혀야한다. 

악성코드 분석, 해킹대회 문제 풀이 등등 많은 곳에 쓰인다. 

 

워게임 사이트

reversing.kr/

 

Reversing.Kr

This site tests your ability to Cracking & Reverse Code Engineering. Now Challenge a problem for each environment. (Windows, Linux, .Net, Flash, Java, Python, Mobile..) Admin E-Mail: gogil@reversing.kr

reversing.kr

 

 

 

3. 웹 해킹

: 로그인 과정을 회피하거나 웹에 저장되어 있는 회원들의 정보를 빼돌린다는지 웹에 취약점을 이용하는 해킹

다른 해킹들에 비해 진입 장벽이 낮은 편이어서 입문으로 많이 한다. 

그렇다고 쉬운 건 아니니 공부해야할 부분이 굉장히 많다. 

(사실 해킹에 쉬운 거 하나없다.)

 

워게임 사이트

webhacking.kr/

 

Webhacking.kr

Index Welcome Stranger! Chatting Notice(en) [2020-08-12] Replace chat feature with Discord. Please do not cause inconvenience to other users. [2020-08-12] We are preparing to release new challenges within this year. Notice(kr) [2020-08-12] 채팅 기능을

webhacking.kr

 

 

4. 네트워크 해킹 ,하드웨어 해킹, 암호학, 게임해킹, 디지털포렌식 등등

 

 

 

 

전체적인 워게임 사이트

 

www.wechall.net/challs

 

[WeChall] Challenges

 

www.wechall.net

www.pythonchallenge.com/

 

The Python Challenge

What people have said about us: "These sorts of things are in my opinion the best way to learn a language.", brberg at Media Cloisters "It's the best web site of the year so far.", Andy Todd at halfcooked "Addictive way to learn the ins and outs of Python.

www.pythonchallenge.com

 

suninatas.com/

 

써니나타스

웹해킹, 포렌식, 리버싱, 암호학, 해킹 워게임 제공.

www.suninatas.com

xcz.kr/START/index.php

 

XCZ.KR

Admin E-Mail: app@nate.com Conversation are always welcome!

xcz.kr


보안 취업 

보안이라는 단어가 워낙 매력적이라서 흥미 때문에 오신 분이 대다수지만 취업 분야에 대해서 알아보자. 

 

1. 보안 컨설팅

: 고객의 정보자산과 비즈니스 프로세스에 따른 위협 및 취약점을 분석하여 보안 수준을 파악하고 요구 수준에 맞는 통합적인 개선책을 설계 및 제시하는 업무

 

-관리 분야 

  체계 수립, 컴플라이언스 기준 대비 현황분석 및 개선 방안 제시, 마스터 플랜 수립 등

 

- 기술적인 분야

  인프라 등에 대한 취약점 점검

  모의해킹, 소스코드 등

 

2. 침해 대응 전문가

: 침해사고가 발생한 정확한 원인을 파악하여 동일 공역과 2차 피해, 추가 공격 등을 원천적으로 방어할 수 있는 대안책을 제시하는 보안 전문가

 

 

3. 악성코드 분석가

: 탐지된 악성코드를 분석하여 동작원리 및 패턴을 분석하고,이를 보안프로그램(백신 등)에 패턴을 등록함으로써, 2차 및 피해 확산을 차단하는 전문가 

 

4. 보안 교육 전문 강사

: 기업이나 개인을 대상으로 보안에 대한 교육을 전문으로 수행하는 전문 강사

5. 보안제품 개발자

: 정보보호 관련 사고를 미연에 탐지 및 대응하기 위한 고객의 니즈에 맞는 솔루션을 개발 

- 보안 SW 분석/ 설계 전문가

- 보안 SW 개발자

- 보안제품 기술자(SE)

- 보안제품 기술 영업

참고 http://servic1.nis.go.kr/cerity/convenanceSummary.jsp

 

 


CTF

이와 같이 공부를 전체적으로 하고 나면 해킹방어대회를 준비할 수 있다. 

 

 

CTF 는 'Capture the Flag' 의 약자로 말 그대로 플래그(Flag) 갑을 찾으라는 의미로 일반적으로 팀(Team)으로 구성하여 참가하는 방식이다. 

 

코드게이트, 데프콘, 시큐인사이드, 삼성전자 등등등 많은 CTF 대회가 열리고 있다. 

 

유명한 CTF 대회로는

- 코드게이트(과학기술정보통신부 주관),

- HdCon(KISA 주관),

- Secuinside(고려대 주관),

- WITHCON(국방부 주관),

- DEFCON(국제 대회), SCTF(삼성전자) 

 

 

상금도 몇천만원 단위!

 

 


컴공 & 보안 꿀팁!

 

편하게 살고 싶었으면 이 과에 오면 안 됐다.

 

(feat.수많은 과제, 매번 나오는 새로운 기술들, 잦은 밤샘, 확실치 않은 미래)

 

가장 중요한 건 금방 식어버리는 뜨거운 열정 보다는 뜨뜨미지근하게 오래가는 따뜻한 열정.

 

꿀팁 

1. 잘하는 친구를 옆에 두자! 하지만 과제는 오래 걸려도 스스로 할 것. 

 

2. 최신동향을 파악하자!

 

1) 페이스북, 유튜브 이용하기 

- 출퇴근 개발 읽기

- 생활해킹

등등 꿀팁 페이지 공유 가능

 

 

2) 오프라인 세미나에 나가자!

- 코로나 때문에 잘 못 함ㅠ 

-온오프믹스와 같은 페이지로 세미나를 확인하자 , 페이스북와 커뮤니티를 이용하면 자연스레 알게 되기도 한다. 

 

3) 커뮤니티를 하자!

- 해킹 또는 개발자 커뮤니티에 들어가서 존버하자. 배우는 점이 많다. 

 

4) 소스 관리를 하자!

- 일찍 시작할 수록 좋다. 

- Github, 블로그 등을 만들고 관리하자 (과제임

 

 

3. 늦은 건 없다. 

 

 

 

4. 그외 보안 대외활동

- 차세대 보안리더 양성 프로그램 BoB

- K-쉴드 주니어  

- 해커톤

- 해킹 부트캠프

등등등 

 

 

 


 

멘토링 일정 (예정)

9월 26일 - '오리엔테이션 및 칼리리눅스와 WSL 깔기'

10월 4일 - 웹 해킹1

10월 10일 - 웹 해킹2

10월 31일 - 리버싱 

11월 7일 - 시스템 해킹

11월 14일 - 게임 해킹

11월 21일 - 디지털 포렌식

11월 28일 - 네트워크 해킹

....

 


VMWare 를 다운 받자!

 

awesomek.tistory.com/entry/%ED%95%B4%ED%82%B9%ED%88%B4%EC%9D%B4-%ED%8F%AC%ED%95%A8%EB%90%98%EC%96%B4-%EC%9E%88%EB%8A%94-Kali-Linux-%EC%84%A4%EC%B9%98-Feat-VMware?category=832729

 

해킹툴이 포함되어 있는 2020년 Kali Linux 설치 (Feat. VMware)

Kali Linux란? 모의 침투 테스트에 필요한 툴들을 모아놓은 리눅스라고 생각하시면 됩니다. 해킹을 하는데 필요한 툴뿐 아니라 발결한 취약점을 의뢰인에게 보고 할 수 있는 레포팅 툴도 포함되어

awesomek.tistory.com

 

 

http://cdimage.kali.org/kali-2019.2/

iso 다운 가능 

iso 란 CD/DVD 같은 파일을 그대로 옮겨 놓은 확장자

 

맥북에서 칼리리눅스 설치하기

 

blog.naver.com/PostView.nhn?blogId=talkativehacker&logNo=221283989409&parentCategoryNo=&categoryNo=25&viewDate=&isShowPopularPosts=false&from=postView

 

(칼리리눅스) 설치 , 맥북 설치 , 버추얼박스

우선 칼리리눅스를 실행시킬 가상머신이 필요합니다. 맥북에서는 vmware 는 유료버전만 존재함으로 버추얼...

blog.naver.com

 

-윈도우10에서 칼리 리눅스 원격

covenant.tistory.com/99

 

칼리 리눅스(Kali linux) 윈도우10 스토어에서 설치하고 원격 접속하기

(뮤탈리스크 처럼 생긴 칼리리눅스) 칼리 리눅스를 윈도우 10 App으로도 만날 수 있습니다. 또한 xfce4를 이용해서 원격으로 접속 할 수 있습니다. 본 포스팅은 xfce4로 칼리리눅스에 원격으로 접속��

covenant.tistory.com

 

728x90
반응형