간편결제, 신용카드 청구할인
네이버페이 1%
(네이버페이 결제 시 적립)
NH(올원페이)카드 12% (27,720원)
(3만원 이상 결제/최대 1만원 할인)
북피니언 롯데카드 30% (22,050원)
(최대할인 3만원 / 3만원 이상 결제)
하나SK 북&카드 30% (22,050원)
(최대할인 3만원 / 3만원 이상 결제)
EBS 롯데카드 20% (25,200원)
(최대할인 3만원 / 3만원 이상 결제)
인터파크 NEW 우리V카드 10% (28,350원)
(최대할인 3만원 / 3만원 이상 결제)
인터파크 현대카드 7% (29,300원)
(최대할인 3만원 / 3만원 이상 결제)
Close

모의 해킹을 위한 메타스플로잇 : 실전 예제로 배우는

원제 : Metasploit Penetration Testing Cookbook, Second Edition

2013년 9월 9일 이후 누적수치입니다.

판매지수 10
?
판매지수란?
사이트의 판매량에 기반하여 판매량 추이를 반영한 인터파크 도서에서의 독립적인 판매 지수입니다. 현재 가장 잘 팔리는 상품에 가중치를 두었기 때문에 실제 누적 판매량과는 다소 차이가 있을 수 있습니다. 판매량 외에도 다양한 가중치로 구성되어 최근의 이슈도서 확인시 유용할 수 있습니다. 해당 지수는 매일 갱신됩니다.
Close
공유하기
정가

35,000원

  • 31,500 (10%할인)

    1,750P (5%적립)

할인혜택
적립혜택자동적립
배송정보
주문수량
감소 증가
  • 이벤트/기획전

  • 연관도서(321)

  • 사은품(2)

출판사 서평

메타스플로잇(Metasploit)은 실무 보안 침투 테스트에 널리 사용되는 도구로서, 이 책은 독자가 예제를 쉽게 따라 하면서 메타스플로잇의 다양한 기능을 접해볼 수 있도록 구성했다. 정보 수집과 포트 스캐닝, 취약점 공격 과정, APT 공격에 자주 사용되는 클라이언트 측 공격 방법 등에 대해 다양한 시나리오를 다루며, 특히 최근 새로운 보안 이슈로 대두된 무선 네트워크 침투 테스트, VoIP 침투 테스트, 클라우드 환경에서의 침투 테스트에 관한 내용도 추가됐다. 쉽게 따라 할 수 있는 예제로 구성된 입문서로서, 처음 메타스플로잇을 배우고자 하는 독자에게 큰 도움이 되며, 전문가에겐 좋은 족집게 가이드다.

이 책에서 다루는 내용
- 메타스플로잇과 가상 머신을 활용한 완벽한 침투 테스팅 환경 구축
- 루비(Ruby)로 미터프리터(Meterpreter) 스크립트 작성과 분석
- 정보 수집, 취약점 진단, 공격과 권한 상승을 포함한 VoIP, WLAN, 클라우드에서 침투 테스팅 시작부터 끝까지 학습
- 메타스플로잇을 이용한 안티바이러스 우회 기법
- 모든 환경의 주요 취약점을 이해하고 위협을 다루는 방법 학습
- BBQSQL로 작업

이 책의 대상 독자
이 책은 특정 운영체제에 국한되지 않고 침투 기술뿐만 아니라 프레임워크에 전문 지식을 갖고자 하는 메타스플로잇의 새로운 사용자와 전문적인 침투 테스터를 대상으로 한다. 단, 스캐닝, 공격 기법, 루비 언어에 대한 기본 지식이 필요하다.

이 책의 구성
1장, '보안 전문가를 위한 메타스플로잇 간단 팁'에서는 윈도우에서 메타스플로잇 설정, 우분투에서 메타스플로잇 설정, 백트랙 5 R3로 메타스플로잇 설치, VMware를 이용한 침투 테스팅 환경 설정, SSH 연결을 이용하는 가상머신에서 메타스플로잇 환경 설정, 백트랙 5 R3에서 PostgreSQL 설치와 설정, 침투 테스팅 결과를 저장할 때 데이터베이스를 이용하고 BBQSQL로 작업하는 간단한 방법을 알아본다.

2장, '정보 수집과 스캐닝'에서는 초판의 내용과 더불어 분산된 환경에서 포트스캐닝을 다룬다. SMB, SSH, FTP, SNMP 스위핑 등의 다양한 스캐닝 기법도 설명한다.

3장, '운영체제 기반 취약점 확인과 공격 기법'에서는 XP, 우분투, 굉장히 매력적인 윈도우 8 같은 운영체제에서 공격 코드를 사용하는 간단 팁을 다룬다. 이외 윈도우 DLL 인젝션 취약점도 알아본다.

4장, '클라이언트 대상 공격 기법과 백신 우회 기법'에서는 인터넷 익스플로러, 어도비 리더, 플래시 플레이어, 마이크로소프트 워드와 관련된 최신 취약점을 자세히 설명한다. 또한 msfencoder로 은닉된 페이로드는 더 이상 AV를 피할 수 없기 때문에 msfencoder보다 좋은 시린지(syringe)라는 툴을 이용해 탐지율을 낮춰본다.

5장, '침투 테스팅용 모듈 관리'에서는 스캐너 보조 모듈 사용, 보조 관리자모듈, SQL 인젝션과 DoS 공격 모듈, 사후 공격 모듈처럼 침투 테스팅을 위한 모듈로 작업해보고, 이런 모듈을 설치하는 방법을 다루고, 현재 모듈을 분석하고 자신만의 사후 공격을 만들어본다.

6장, '공격 코드 탐구'에서는 공격 코드를 변형해 모듈에 적용하고, 마지막에는 자신만의 퍼저(fuzzer)를 작성해본다.

7장, 'VoIP 침투 테스팅'에서는 VoIP 토폴로지와 VoIP 침투 테스팅을 자세히 다룬다. VLAN 호핑, VoIP 맥 스푸핑, 위장 공격, DoS 공격을 이용한 공격 등을 한 단계씩 다루며, 과정을 자세히 설명한다.

8장, '무선 네트워크 침투 테스팅'에서는 환경설정 방법과 Fern 와이파이 크래커 실행, tcpdump로 인터페이스 스니핑, Fern 와이파이 크래커로 WEP와 WPA 크랙킹, 맥 주소를 통한 세션 하이재킹, 공격 대상의 위치 정보 확인, 워 드라이빙, 이블 트윈 공격, 카르메타스플로잇(Karmetasploit)을 다룬다.

9장, 'SET: 소셜 엔지니어 툴킷'에서는 사람들이 원치 않는 어떤 행위를 하도록 조작하는 사회공학 기법과 SET의 사용법을 설명한다. 사이버 기반 사회 공학적으로 조작된 시나리오는 중요한 정보를 훔치거나 악의적인 행위를 하도록 사람들을 함정에 빠트리기 위해 고안된 것이다. 소프트웨어나 운영체제에 공격 코드와 취약점이 있는 것처럼 SET는 보안 의식을 깨버리기 때문에 인간을 대상으로 한 일반적인 공격이라고 할 수 있다.

10장, '미터프리터 활용'에서는 미터프리터와 관련된 모든 명령을 다룬다. 미터프리터의 힘을 빌려 원격 머신에서 사용자 이름과 암호가 저장된 트래픽을 살펴본다. 또한 토큰 위장과 WinAPI 조작, ESPIA 사용, 익명 공격, VNC서버 원격 인젝션, 취약한 PHP 애플리케이션 공격을 다룬다.

부록, '클라우드 기반 침투 테스팅'에서는 네트워크를 통한 분산 컴퓨팅처럼 클라우드 컴퓨팅과, 머신에 많이 접속하는 프로그램을 실행하는 방법을 설명한다. 또한 클라우드에서 침투 테스팅과 hackerserver.com을 가진 클라우드에 어떻게 침투 테스트를 하는지 설명한다.

목차

1장 보안 전문가를 위한 메타스플로잇 간단 팁
소개
윈도우에서 메타스플로잇 설정
우분투에서 메타스플로잇 설정
백트랙 5 R3로 메타스플로잇 설치
VMware를 이용한 침투 테스팅 환경설정
인터페이스 소개: 메타스플로잇의 'Hello World'
백트랙 5 R3에서 PostgreSQL 설치와 설정
침투 테스팅 결과를 저장하기 위한 데이터베이스 사용
BBQSQL로 작업

2장 정보 수집과 스캐닝
소개
소극적 정보 수집
포트 스캐닝: 엔맵
포트 스캐닝: 디엔맵
스캐닝에 사용할 보조 모듈 소개
보조 모듈로 특정 서비스 스캐닝
SMB 인증 스캐너 keimpx
SSH 버전 스캐너로 SSH 버전 탐지
FTP 스캐닝
SNMP 스위핑
네서스를 이용한 취약점 스캐닝
넥스포즈를 이용한 스캐닝
취약점 스캐너 오픈바스
Dradis 프레임워크를 통한 정보 공유

3장 운영체제 기반 취약점 확인과 공격 기법
소개
공격 코드 사용을 위한 간단 팁
윈도우 XP SP2에서 침투 테스팅
원격 접근을 위한 셸 연결
윈도우 2003 서버 침투 테스트
윈도우 7과 서버 2008 R2 SMB 클라이언트 무한 루프
윈도우 8에서 침투 테스팅
리눅스(우분투) 공격
윈도우 DLL 인젝션 이해

4장 사용자 대상 공격 기법과 백신 우회 기법
소개
인터넷 익스플로러의 안전하지 않은 스크립팅 옵션: 잘못된 설정으로 인한 취약점
인터넷 익스플로러 CSS 재귀 호출 메모리 충돌
인터넷 익스플로러 execCommand Use-After-Free 취약점
마이크로소프트 워드 RTF 스택 버퍼 오버플로우
어도비 플래시 플레이어 'newfunction' 유효하지 않은 포인터 사용
어도비 리더 util.printf() 버퍼 오버플로우
어도비 리더 U3D 메모리 충돌
msfpayload에서 바이너리와 셸 코드 생성
msfencode를 이용한 사용자 백신 우회
killav.rb 스크립트로 백신 프로그램 무력화
killav.rb 스크립트 상세히 살펴보기
명령으로 백신 서비스 내리기
시린지 도구 이용

5장 침투 테스트용 모듈 관리
소개
스캐너 보조 모듈 관리
보조 관리자 모듈 사용
SQL 인젝션과 DOS 공격 모듈
사후 공격 모듈
모듈 작성 기초
기존 모듈 분석
자신만의 사후 공격 모듈 작성

6장 공격 코드 탐구
소개
모듈 구조 이해
msfvenom 관리
공격 코드를 메타스플로잇 모듈로 변환
새 공격 모듈 가져오기와 테스트
메타스플로잇을 이용한 퍼징 기법
간단한 파일질라 FTP 퍼징 도구 작성

7장 VoIP 침투 테스팅
소개
스캐닝과 정보 수집 단계
패스워드 수집
VLAN 호핑
VoIP 맥 스푸핑
위장 공격
DoS 공격

8장 무선 네트워크 침투 테스팅
소개
Fern WiFi Cracker 설치와 운영
Tcpdump를 이용한 인터페이스 스니핑
Fern WiFi Cracker를 이용한 WEP와 WPA 크랙
MAC 주소를 통한 세션 가로채기
공격 대상의 지리적 위치 확인
이블 트윈 공격 이해
카르메타스플로잇 설정

9장 SET: 소셜 엔지니어 툴킷
소개
소셜 엔지니어 툴킷(SET) 소개
SET 설정 파일 관리
스피어 피싱 공격 방법
웹사이트 공격 방법
다중 웹 공격 방법
감염 미디어 제작

10장 미터프리터 활용
소개
미터프리터 시스템 명령
미터프리터 파일 시스템 명령
미터프리터 네트워크 명령
권한 상승과 프로세스 이동
다중 통신 채널 설정
미터프리터 안티 포렌식: timestomp
getdesktop과 키 스니핑
스크래퍼 미터프리터 스크립트 사용
패스 더 해시
백도어로 연결 유지
미터프리터를 사용한 피보팅
미터프리터를 사용한 포트 포워딩
미터프리터 API와 믹스인
레일건: 루비를 무기로
레일건에 DLL과 함수 정의 추가
윈도우 방화벽 해제 미터프리터 스크립트 작성
기존 미터프리터 스크립트 분석
원격으로 VNC 서버 주입
취약한 PHP 애플리케이션 공격
미터프리터를 사용한 Incognito 공격

부록 클라우드 기반 침투 테스팅
소개
클라우드 기반 침투 테스팅
hackaserver.com를 이용한 클라우드 기반 침투 테스팅

본문중에서

백트랙 5 R3를 이용해 다양한 플랫폼(무선 네트워크와 VoIP 포함)에서 침투 테스트하는 다양한 방법을 다룬다. 공격 대상의 정보를 수집하는 기초부터 시작해 자신만의 프레임워크와 모듈을 만드는 스크립트와 같은 진보된 주제도 다룬다.

운영체제 기반 침투 테스팅 기술을 자세히 알아본 후 클라이언트기반 공격 방법으로 넘어간다. 사후 공격 단계에서 VoIP, 무선 네트워크, 클라우드 컴퓨팅, 미터프리터, 안티바이러스 우회, 루비 궁금증, 공격 코드 설정, 프레임워크에 공격 코드 적용, 그리고 침투 테스팅을 다룬다. 또한 이 책을 통해 독자가 해커의 관점에서 생각하며, 공격 대상 네트워크에서 취약점을 찾고 메타스플로잇의 힘을 빌려 시스템을 장악하도록 도와준다.
따라서 침투 테스팅 실력을 한층 높여 줄 수 있다. 그리고 토큰 위장, WinAPI 조작, ESPIA, 익명 공격, VNC 서버 원격 공격 코드 삽입, 취약한 PHP 애플리케이션 공격 등에 진화된 미터프리터를 사용하는 방법을 다룬다.

메타스플로잇과 가상머신을 이용한 침투 테스팅 환경을 구축하고, 루비로 미터프리터 스크립트를 만들고 분석하며, 정보 수집, 취약점 진단, 공격과 권한 상승 등 VoIP, WLAN, 클라우드에서의 침투 테스팅 시작부터 끝까지 학습하는 데 도움이 된다. 또한 취약점과 코드를 자세히 분석해보면서 클라이언트 대상 공격 기법에 관련된 침투 테스팅에 익숙해질 수 있다.
(/ 저자 서문 중에서)

최근 몇 년 동안 해킹에 의한 침해 사고로 인해 개인 정보 유출이 사회적 문제점으로 대두되고 있다. 침투 테스트(모의 해킹)란 보안 위협이 되는 취약점을 확인하기 위해 악의적인 해커가 하는 방식과 동일하게, 자신의 회사나 고객사의 IT 시스템을 공격하는 것이다. 이 과정에서 가장 많이 사용되는 도구가 메타스플로잇이며, 초보자부터 능숙한 전문가까지 두루 사용한다.

메타스플로잇은 2003년에 HD 무어(Moore)가 개발했고, 최초에는 펄(Perl)로 작성됐다가 현재는 루비(Ruby) 언어로 변경됐다. 그리고 2009년에 통합 취약점 관리 솔루션을 제공하는 래피드세븐(Rapid7)에 인수됐다. 이 도구는 공격에 사용되는 취약점, 필요한 환경설정 값, 실행할 페이로드 변경이 용이하기 때문에 침투 테스터에게 매우 유연한 환경을 제공한다.

이 책의 원제는 [Metasploit Penetration Testing Cookbook (Second Edition)]이며, 보안을 처음 시작하는 사람들은 예제를 하나씩 따라 해보면서 모의 해킹이 무엇인지 알 수 있고, 메타스플로잇을 활용한 각종 공격 기법과 핵심기능을 족집게처럼 집어서 빨리 익힐 수 있으며, 전문가들은 잊기 쉬운 부분이나 핵심 내용을 참고로 활용할 수 있다.

이 책은 실무에서 이뤄지는 침투 테스트 단계를 따르도록 구성됐다. 가장 먼저 정보 수집과 스캐닝을 진행하고, 이때 수집된 정보를 바탕으로 운영체제 기반 취약점 탐색이 따른다. 취약점을 공격해 시스템을 장악하면 장악한 시스템을 바탕으로 접근 권한을 상승해가는 과정도 상세하게 설명한다. 또한 APT 공격에 자주 사용되는 클라이언트 측 공격도 다루며, 특히 2판에서는 VoIP 침투 테스트, 무선 네트워크 침투 테스트, 클라우드 환경 침투 테스트에 관한 내용도 추가돼 최근 보안 이슈가 되고 있는 분야에 대해서도 배울 수 있게 구성했다.

이 책에서는 메타스플로잇을 하나에서 열까지 속속들이 살펴보는 것은 아니다. 하지만 가장 핵심적인 부분과 최신 공격 기법, 취약점 사례를 제공한다. 더욱이 이 한국어판 [모의 해킹을 위한 메타스플로잇]에서는 1판과 2판의 내용을 모두 담아 독자들은 두 권의 책을 얻는 셈이다.

모의 해킹의 시작은 메타스플로잇부터라고 해도 과언이 아니며, 보안의 다양한 분야에서 활용된다. 이 입문서를 통해 실습 환경을 구축해 직접 취약점을 공격하고 다양한 기법을 학습해 침투 테스트에 대한 기본기를 다질 수 있을 것으로 확신한다. 아무쪼록 메타스플로잇을 처음 접하는 사용자들에게 큰 도움이 되길 바란다.
(/ 옮긴이의 말 중에서)

저자소개

모니카 아가왈(Monika Agarwal) [저] 신작알림 SMS신청 작가DB보기
생년월일 -
출생지 -
출간도서 0종
판매수 0권

인도의 젊은 정보 보안 연구원이다. 국내와 해외 컨퍼런스에서 많은 연구물을 발표했으며, 국제 엔지니어 연합회(IAENG, International Association of Engineers)의 멤버다. 주 관심사는 윤리적 해킹과 애드혹 네트워킹이다.

아비나브 싱(Abhinav Singh) [저] 신작알림 SMS신청 작가DB보기
생년월일 -
출생지 -
출간도서 0종
판매수 0권

인도의 젊은 보안 전문가다. 해킹과 네트워크 보안에 관심이 매우 많으며, 여러 보안 업체에서 프리랜서로 일하면서 자문을 해주고 있다. 현재 인도에 있는 Tata 보안 서비스 업체에서 시스템 엔지니어로 일한다. 또한 SecurityXploded 커뮤니티에서 활발히 활동 중이다. 블로그 http://hackingalert.blogspot.com를 통해 해킹과 네트워크 보안 분야의 내용을 공유하고 있다. 연구 결과는 여러 기술 잡지나 포탈에 다수 기재되어 있다.

생년월일 -
출생지 -
출간도서 0종
판매수 0권

2007년에 보안 제품 개발자로 시작해 안랩에서 네트워크 보안과 취약점 분석 업무를 담당했으며, 현재 NSHC Red Alert 팀에서 다양한 IT 보안 관련 이슈 분석 및 버그 헌팅을 담당하고 있다. 옮긴 책으로 [모의 해킹을 위한 메타스플로잇](에이콘, 2014)이 있다.

생년월일 -
출생지 -
출간도서 0종
판매수 0권

데이터 분석과 머신 러닝에 관심이 많아 현재 고려대학교 산업경영공학과 데이터 사이언스 및 비즈니스 어낼리틱스(DSBA) 연구실에서 박사 과정을 밟고 있다. 이전에는 안랩에서 9년간 근무하며 악성코드 대응 및 침해 사고 분석 업무를 수행했다. 에이콘출판사에서 펴낸 [텐서플로 入門](2016), [리눅스 바이너리 분석](2016), [모의 해킹을 위한 메타스플로잇](2014), [케라스로 구현하는 딥러닝과 강화학습](2017) 등을 번역했다.

이 상품의 시리즈

acorn+PACKT 시리즈(총 351권 / 현재구매 가능도서 322권)

펼쳐보기

이 책과 내용이 비슷한 책 ? 내용 유사도란? 이 도서가 가진 내용을 분석하여 기준 도서와 얼마나 많이 유사한 콘텐츠를 많이 가지고 있는가에 대한 비율입니다.

    리뷰

    0.0 (총 0건)

    기대평

    작성시 유의사항

    평점
    0/200자
    등록하기

    기대평

    0.0

    교환/환불

    교환/환불 방법

    ‘마이페이지 > 취소/반품/교환/환불’ 에서 신청함, 1:1 문의 게시판 또는 고객센터(1577-2555) 이용 가능

    교환/환불 가능 기간

    고객변심은 출고완료 다음날부터 14일 까지만 교환/환불이 가능함

    교환/환불 비용

    고객변심 또는 구매착오의 경우에만 2,500원 택배비를 고객님이 부담함

    교환/환불 불가사유

    반품접수 없이 반송하거나, 우편으로 보낼 경우 상품 확인이 어려워 환불이 불가할 수 있음
    배송된 상품의 분실, 상품포장이 훼손된 경우, 비닐랩핑된 상품의 비닐 개봉시 교환/반품이 불가능함

    소비자 피해보상

    소비자 피해보상의 분쟁처리 등에 관한 사항은 소비자분쟁해결기준(공정거래위원회 고시)에 따라 비해 보상 받을 수 있음
    교환/반품/보증조건 및 품질보증 기준은 소비자기본법에 따른 소비자 분쟁 해결 기준에 따라 피해를 보상 받을 수 있음

    기타

    도매상 및 제작사 사정에 따라 품절/절판 등의 사유로 주문이 취소될 수 있음(이 경우 인터파크도서에서 고객님께 별도로 연락하여 고지함)

    배송안내

    • 인터파크 도서 상품은 택배로 배송되며, 출고완료 1~2일내 상품을 받아 보실 수 있습니다

    • 출고가능 시간이 서로 다른 상품을 함께 주문할 경우 출고가능 시간이 가장 긴 상품을 기준으로 배송됩니다.

    • 군부대, 교도소 등 특정기관은 우체국 택배만 배송가능하여, 인터파크 외 타업체 배송상품인 경우 발송되지 않을 수 있습니다.

    • 배송비

    도서(중고도서 포함) 구매

    2,000원 (1만원이상 구매 시 무료배송)

    음반/DVD/잡지/만화 구매

    2,000원 (2만원이상 구매 시 무료배송)

    도서와 음반/DVD/잡지/만화/
    중고직배송상품을 함께 구매

    2,000원 (1만원이상 구매 시 무료배송)

    업체직접배송상품 구매

    업체별 상이한 배송비 적용