메타스플로이트

메타스플로이트 프로젝트(Metasploit Project)에서 메타스플로이트는 펄 스크립팅 언어를 사용하는 휴대용 네트워크 도구로서 2003년 H. D. 무어에 의해 만들어졌다. 그러나 루비에 의하여 재구조 된 이후 2009년 10월 21일 Rapid7, 통일 취약성 관리 솔루션을 제공하는 보안 회사에 인수되었고, 현재는 오픈 소스, 보안 취약점, 침투 테스트 및 IDS 서명 개발 보조기구 등에 대한 정보를 제공하는 것에 목적을 두는 컴퓨터 보안 프로젝트이다. Metasploit Project의 가장 잘 알려진 하위 프로젝트는 Metasploit Framework이며 이것은 개발 및 원격 대상 시스템에 대한 공격 코드를 실행하기 위한 도구이다. Metasploit Project의 다른 중요한 하위 프로젝트로로는 Opcode 데이터베이스, 셸코드획득 및 보안 연구를 포함하고 있다. Metasploit Project는 Metasploit Framework로 이루어진 anti-forensic과 evasion tools으로 유명하다.

메타스플로이트

개발자	Rapid7 LLC
발표일	2003년(22년 전)(2003)[1]
안정화 버전	6.3.36[2] / 2023년 9월 28일 (2023-09-28)
저장소	github.com/rapid7/metasploit-framework
운영 체제	크로스 플랫폼
종류	보안
라이선스	BSD
상태	지원 중
웹사이트	www.metasploit.com/

사용

메타스플로이트 프로젝트를 실제로 접하고 싶다면 먼저 메타스플로이트 홈페이지에 접속해 보는 것이 좋다. 홈페이지는 우측에 보이는 틀의 하단 부분에 위치한 링크를 통하여 접속할 수 있다. 메타스플로이트의 장점은 자신이 원하는 항목의 취약점이 비교적 빠르게 최신화가 된다는 점과 이러한 취약점에 대한 셸코드를 제공해 준다는 점이다. 영어로 되어 있어서 접근성이 떨어진다는 단점이 있지만 Chrome 자동번역 기능을 이용하여 해결할 수 있다. 메타스플로이트 홈페이지에 접속을 하면 여러 탭이 보일 것이다. 이러한 탭을 각각 스스로 탐험해 보는 것도 좋은 경험이지만 직접 셸코드를 찾아서 시험해 보고 공부하고 싶은 사람들은 Exploit를 보면 편할 것이다. 이 탭은 그간 메타스플로이트가 축적해온 데이터 베이스로 항목에 대한 취약점 그것에 대한 모듈이 저장되어 있는 곳이다. 사용자는 쉽게 이러한 정보에 접속이 가능하고 이미 만들어진 코드를 이용하여 자신이 원하는 목적을 달성할 수 있을것이다. 이러한 기능은 비단 메타스플로이트 뿐만 아니라 Exploit db에서도 사용할 수 있다.^[3] 메타스플로잇(모의 해킹 전문가를 위한 메타스플로잇)이 있다.

프레임워크

메타스플로이트 프로젝트중 앞서 이야기 하였지만 가장 유명한 것은 앞서 이야기 하였듯 메타스플로이트 프레임워크이다. 메타스플로이트 프레임워크는 버퍼 오버플로우, 패스워드 취약점, 웹 응용 취약점, 데이터베이스, 와이파이 취약점 등에 대한 약 300개 이상의 공격 모듈을 가지고 있는 오픈 소스 도구로서, 메타스플로이트를 이용하면 저렴한 비용으로 기업의 시스템에 대한 포괄적인 침투시험을 통한 취약성을 확인할 수 있다. 그렇기 때문에 네이트나 EBS와 같이 사용자가 많은 웹 페이지에 개인정보를 유출을 목적으로 하는 해커들의 수가 늘고있다. 그렇기 때문에 각 기업과 관공서 등 개인 정보와 기밀 정보를 가진 단체에서는 자신들이 쓰는 시스템 및 데이터베이스 시스템의 취약점을 확인하기 위해 포괄적인 침투시험을 할 필요가 늘어남에 따라 오픈소스이면서 강력한 메타스플로이트 프레임워크에 주목하게 되는 것이다.

같이 보기

• OWASP