금일 목표하고있는 모의해킹 컨설턴트라는 직업을 얻기 위해 참 많은 것 들을 공부하고 대학을 다시 다니는 선택을 했다.
그렇지만 모의해킹 현직자의 조언 및 현직에 대한 스토리는 한번도 들어본 적 없기에 인프런을 통하여 레드라쿤 보안 커뮤니티를
운영하시는 그루트 멘토님께 멘토링을 신청하였다. 이는 꽤나 훌륭한 선택이였다.
살면서 진로에 대한 멘토링을 한번도 받아본적 없기에 진행은 어떻게 되는지 어떠한 질문을 해야되는지 걱정도 되었지만 그루트 멘토님께서 해주시는 말씀을 들으며 질문이 꼬리에 꼬리를 물었고 나에게 주어진 한시간보다 30분 이상을 더 초과하여 시간을 할애해 주셨다.
말씀을 나누면서 그간 혼자 공부하며 넓은 해킹과 컴퓨터라는 정보 속에서 비로소 어떠한 공부를 중점적으로하고 어떠한 목표를 설정해야했는가 조금은 모호하기도 하였는데 그 방향성 설정에 큰 도움이 된 것 같아, 2025년 중 가장 의미있는 시간이였지 싶다.
언젠가 오늘을 생각하며 또 목표를 설정할 나를 위해 하기에 멘토님께 들었던 내용들을 정리하려한다.
1. 모의해킹 및 향 후 공부에 도움 될 사이트
▣ Hex the box
- 각 가상머신의 취약점을 이용하여 시스템 침투, 즉 모의해킹을 실습
- 매주 1개씩 가상머신이 업데이트 되고, 오래된 가상머신은 유료 컨텐츠로 전환
- 유로 컨텐츠는 월 1만 5천원 구독으로 이용 가능
https://account.hackthebox.com/
HTB Account
account.hackthebox.com
▣ 버프스위트 아카데미
- 패킷 분석 프로그램 ( 내가 알기론 .. ) 버프스위트 제공 업체에서 교육 제공
https://portswigger.net/web-security
Web Security Academy: Free Online Training from PortSwigger
The Web Security Academy is a free online training center for web application security, brought to you by PortSwigger. Create an account to get started.
portswigger.net
▣ 팬테스트 아카데미
- 외국 침투 테스트 교육 사이트
- 유로지만 교육 이수 시 뱃지 증정, 이는 포트폴리오로서 활용가능
https://www.pentesteracademy.com/
Redirecting to INE
Redirecting to INE You will be redirected automatically
www.pentesteracademy.com
2. 모의해킹 대상의 종류
▣ 웹
- 가장 빈번하게 취약점이 발생하는 솔루션 중 하나, 모의해킹 업무의 80%가 웹 해킹이라고 한다.
▣ 모바일
- 아래 사이트에서 공부할 수 있을 것 같다.
https://www.mobilehackinglab.com/
Mobile Hacking Lab - Online Mobile Hacking Course for Aspiring Experts
Gain mobile security expertise:. Learn to detect and tackle mobile vulnerabilities in our comprehensive mobile hacking course. Secure your devices now.
www.mobilehackinglab.com
▣ API
- 웹 개발자로서 근무할 당시 타사API 연동은 해봤지만 API도 취약점 분석을 하는 것은 처음 알았다.
▣ wireless
- wifi, 블루투스, NFC 등 다양한 장비 및 네트워크들에 대하여 모의해킹을 진행 한다고 한다. 처음 알았고 이러한 것도 해킹이 된 다는 것이 상당히 신기했다.
3. 레드팀과 모의해킹의 차이
그루트 멘토님께서 이 개념을 알고, 모르고 차이는 꽤나 큰 차이를 만들어 낸다고 했다.
▣ 레드팀
- 특정 대상 또는 기업, 단체를 대상으로 xss, csrf, 리버스엔지니어링 관계없이 취약점을 찾고 실제 공격처럼 수행하는 팀 단위
▣ 모의해킹
- 특정 클라이언트를 대상으로 xss,csrf 등 소프트웨어, 또는 애플리케이션에서 발견되는 취약점을 찾는 행위를 하는 것.
4. 공부방향 및 그 외
- CTF 로는 빠르게 주어진 해킹 문제를 찾기 위해 고안된 문제기 때문에 OSCP 시험 환경과 유사한 모의해킹 공부를 하는 것 이 좋다.
- 자소서 및 면접에는 스토리가 중요하다. 내가 왜 이 분야에 오게 되었는지 그로 어떠한 노력들을 하였는지 .
- 탑 다운 방식으로 공부하며 목적에 기반하여 목적달성을 위한 지식들을 그때 그때 습득하는 습관을 기르자.
- 어느 회사든 특히 기술직은 배울 수 있는 사수가 있는 것이 중요하다 .
'daily life > knowledge' 카테고리의 다른 글
| [ tool ] 앱 취약점 진단을 위한 Frida ( 프리다 ) 설치 및 환경 설정 (0) | 2025.04.28 |
|---|---|
| [ tool ] 앱 해킹을 위한 녹스 설치 및 세팅 (0) | 2025.04.28 |
| [ MAC ] 사용중인 포트 찾기 및 죽이기 명령어 (0) | 2024.02.14 |
