기술
# OSEP
PEN-300: Evasion Techniques and Breaching Defenses
OSEP는 OSCP의 다음 단계이자
OSCP 수준 침투 테스터의 스킬업을 위해 설계된
고급 과정으로
고급 침투 테스트 기술 및 Windows Defender와 같은
안티 바이러스 시스템을 우회하는 방법을 가르치는데
Windows 및 Linux 시스템의 탐지를 피하기 위해
성공적으로 멀웨어를 작성하고 심는 방법을 배우게 되며
(공격에 필요한 툴 및 payload를 직접 제작)
선임 침투 테스터, 보안 연구원, 애플리케이션 침투 테스터,
보안 제품 관련 소프트웨어 개발자와 같은 직무의 사람들에게
적합함
# 다루는 내용
- Operating System and Programming Theory
- Client Side Code Execution With Office
- Client Side Code Execution With Jscript
- Process Injection and Migration
- Introduction to Antivirus Evasion
- Advanced Antivirus Evasion
- Application Whitelisting
- Bypassing Network Filters
- Linux Post-Exploitation
- Kiosk Breakouts
- Windows Credentials
- Windows Lateral Movement
- Linux Lateral Movement
- Microsoft SQL Attacks
- Active Directory Exploitation
- Combining the Pieces
- Trying Harder: The Labs
# 기대 효과
- Preparation for more advanced Penetration Testing field work
- Knowledge of breaching network perimeter defenses through
client-side attacks, evading antivirus and allow-listing technologies
- How to customize advanced attacks and chain them together
# 등록 전 준비사항
- OSCP 또는 비슷한 수준의 지식
- 기본적인 C# 프로그래밍 지식
- 사전 CRTP (Certified Red Team Professional)
자격증 습득이 도움이 될 수 있음
# 코스 비용 및 시험
- $1599
- 72시간
# 코스 등록 시 제공
- 19+ hours of video
- 700-page PDF course guide
- Active student forums
- Access to virtual lab environment
- Closed Captioning is available for this course
# OSWE
WEB-300: Advanced Web Attacks and Exploitation
OSWE는
화이트 박스 웹 앱 침투 테스트를 수행하는 데 필요한
기술을 가르치는 고급 웹 애플리케이션 보안 과정으로
JAVA / .NET / NodeJS / PHP 소스 코드 디버깅 등을 다루며
고급 침투 테스트용 OSEP 및 익스플로잇 개발용 OSED와 함께
OSCE3 인증을 구성하는 세 가지 인증 중 하나
# 다루는 내용
- Cross-Origin Resource Sharing (CORS) with CSRF and RCE
- JavaScript Prototype Pollution
- Advanced Server-Side Request Forgery (SSRF)
- Web security tools and methodologies
- Source code analysis
- Persistent cross-site scripting
- Session hijacking
- .NET deserialization
- Remote code execution
- Blind SQL injection
- Data exfiltration
- Bypassing file upload restrictions and file extension filters
- PHP type juggling with loose comparisons
- PostgreSQL Extension and User Defined Functions
- Bypassing REGEX restrictions
- Magic hashes
- Bypassing character restrictions
- UDF reverse shells
- PostgreSQL large objects
- DOM-based cross site scripting (black box)
- Server-side template injection
- Weak random token generation
- XML external entity injection
- RCE via database functions
- OS command injection via WebSockets (black box)
# 기대 효과
- Performing advanced web app source code auditing
: 고급 웹 앱 소스 코드 감사 수행
- Analyzing code, writing scripts, and exploiting web vulnerabilities
: 코드 분석, 스크립트 작성 및 웹 취약점 악용
- Implementing multi-step, chained attacks using multiple vulnerabilities
: 여러 취약점을 사용하여 다단계 연쇄 공격 구현
- Using creative and lateral thinking to determine innovative ways of exploiting web vulnerabilities
: 창의적이고 수평적 사고를 통해 웹 취약점을 악용하는 혁신적인 방법을 결정
# 코스 비용 및 시험
- $1599
- 48시간
# 코스 등록 시 제공
- 10-hour video series
- PDF course guide (410+ pages)
- Private labs
- Active student forums
- Access to virtual lab environment
- Closed Captioning is available for this course
관리
# ISO/IEC 27001
: 정보보호경영시스템 / 정보보호관리체계 인증
ISMS(Infomation Security Management System)
정보보호 분야에서 가장 권위 있는 국제 인증으로
정보보호관리체계가 국제표준에 부합하도록 설계되었음을
국제적으로 인증해 주는 제도이자
심사원 자격증으로 한국표준협회 등 인증기관에 소속되어
경영시스템 인증을 취득하고자 하는 조직을 대상으로
심사를 수행할 수 있는 전문 자격증
ISO 27001 인증 심사원이 되기 위해서는
필수적으로 ISO 9001(품질경영시스템),
ISO 19011(경영시스템) 과정 수료 필요
# 자격요건
- 4년제 대학 졸업 이상
- 보안 경력 1년 이상
- 정보보호 / 개인정보보호 / 정보기술 경력 합 6년 이상
- CISA / CISSP 둘 중 하나 있으면 경력 1년 인정
# 비용
ISO 19011 : 40~55만 원
ISO 27001 : 44~77만 원
# 참고
http://www.acerti.co.kr/bbs/board.php?bo_table=0201
[CISA]
# CISA (Certified Information Systems Auditor)
: 정보시스템감사사
미국에 국제 본부를 두고 있는 정보시스템감사통제협회
(ISACA : Information Systems Audit and Control Association)가
1978년부터 일정 자격 요건을 갖춘 사람들에게 부여하는
"정보시스템 지배, 통제, 보안 및 감사 분야의 공인 전문 자격증"
# 자격요건
- 최소 5년 이상 정보 시스템 감사/통제 보안 경력
- 비 정보 시스템 감사 경력 : 최대 1년 인정
- 2년제 대학 이수: 1년 인정, 4년제 대학 이수 : 2년 인정
- 2년간 대학 전임 강사 경력 : 1년 인정
# CISA 진로 분야
- 일반 기업 및 금융권 감사실
- IT 관련 기업 및 경영 컨설팅 업체
- IT 관련 기업 중 회계 법인 소속 분야
- 정보시스템감리업체
- 공인회계사 및 법인 회사
- 외국 투자 법인 회사 및 외국 계열 회계 법인 회사
- 정보보안 분야 관련 컨설팅 업체 및 연구소
- 국가기관 정보관리부서
# 시험 정보
- 시험 시간 : 240분
- 시험 문항 : 150문항 (사지선다)
- 합격 점수 : 450/800 (상대평가 - 25문제 이상 틀리면 안 됨)
- 비용 : 회원 $770 / 비회원 $760
# 참고
https://www.isaca.org/credentialing/certifications
# CISSP (Certified Information System Security Professional)
: 정보시스템보호전문가
정보보호전문가 개발에 관심 있는 국제 조직들이
1989년 컨소시엄을 형성하여 설립한
국제정보시스템보안자격협회 (ISC2 :
International Information Systems Security Certification Consortium)가
발급, 관리하는 "국제정보 시스템 보안 전문가 자격증"
# 자격요건
- CBK (Common Body of Knowledge) 도메인 관련 경력 5년 이상
- 보안 및 위험 관리 (Security and Risk Management)
- 자산 보안 (Asset Security)
- 보안 아키텍처 및 엔지니어링 (Security Architecture and Engineering)
- 통신 및 네트워크 보안 (Communication and Network Security)
- 신원 및 접근 관리 (Identity and Access Management)
- 보안 평가 및 테스트 (Security Assessment and Testing) (IAM)
- 보안 운영 (Security Operations)
- 소프트웨어 개발 보안 (Software Development Security)
- CISA 자격증 기 취득 시 1년 경력 인정
- 4년제 대학 졸업 : 1년 경력 인정
# CISSP 진로 분야
- 일반 기업 및 금융권 전산실
- IT 관련 기업 및 컨설팅 업체
- 외국 투자 법인 회사 및 외국 계열 회계 법인 회사
- 정보보안 분야 관련 컨설팅 업체 및 연구소
- 국가 정부기관 및 육군, 해군, 공군 본부 등
- 각종 공기업 및 전산실
# 시험 정보
시험 시간 : 6 시간
시험 문항 : 250
합격 점수 : 700/1000
비용 : $749
# 참고
https://www.isc2.org/Register-for-Exam/ISC2-Exam-Pricing
https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CISSPKorean.ashx
'정보보안공부 > 잡다정보' 카테고리의 다른 글
| Anaconda 설치 및 이슈 해결 (0) | 2023.02.17 |
|---|---|
| OpenSSL 윈도우 설치 및 사용법 (3) | 2022.01.21 |
| IP 우회 시 고려사항 팁 (0) | 2022.01.12 |
| 2022 칼리 리눅스 Proxychains timeout 문제 해결 (0) | 2022.01.11 |
| Virtual Box 네트워크 설정 정리 (9) | 2021.03.12 |