안드로이드 모바일 앱 모의해킹 (가상 뱅킹 앱 인시큐어뱅크를 활용한 모바일 취약점 진단과 대응 방안)

안드로이드 모바일 앱 모의해킹 (가상 뱅킹 앱 인시큐어뱅크를 활용한 모바일 취약점 진단과 대응 방안)

$43.79
Description
금융권 앱을 모델로 가상으로 제작된 ‘인시큐어뱅크’ 앱에서 제공되는 20가지 이상의 진단 방법과 취약점 대응 방안을 제시했다. 안드로이드 보안에 관심 갖고 있던 독자라면 누구나 쉽게 실습할 수 있도록 구성했다. 취약점 항목별로 도출된 취약점을 소스 코드 레벨로 설명하고, 자동화 분석 진단 환경을 제시해 효율적으로 진단할 수 있는 방안을 제시했다. 단계별로 실습하며 익힌다면, 실무에서 진단할 안드로이드 앱 서비스의 취약점을 손쉽게 진단하고 고객에게 대응 방안을 제시할 수 있다.
선정 및 수상내역
2017년 세종도서 학술부문 선정도서
저자

조정원

‘보안프로젝트(www.boanproject.com)’대표로활동하고있다.에이쓰리시큐리티에서5년동안모의해킹컨설턴트를담당했고,모의해킹프로젝트매니저,웹애플리케이션,소스코드진단등다양한영역에서취약점진단을수행했다.이후KTH보안팀에서모바일서비스,클라우드서비스보안,침해사고대응업무를수행했고,KB투자증권에서보안업무를담당했다.

목차

1장안드로이드취약점분석및환경소개
1.1안드로이드아키텍처이해
1.1.1리눅스커널
1.1.2라이브러리
1.1.3안드로이드런타임
1.1.4안드로이드필수구성요소
1.2인시큐어뱅크가상금융앱소개
1.3안드로이드앱진단환경구성
1.3.1자바설치및환경구성
1.3.2안드로이드스튜디오설치
1.3.3가상디바이스소개및설치
1.3.4ADB환경변수설정
1.4녹스환경설치및인시큐어뱅크서버구축
1.5인시큐어뱅크설치및코드수정방법
1.6모바일애플리케이션디컴파일방법
BytecodeViewer를이용한APK파일분석
1.7마무리하며

2장취약점진단및분석도구
2.1ADB(AndroidDebugBridge)살펴보기
2.1.1디바이스장치선택
2.1.2일반기능
2.1.3디버그기능
2.1.4데이터기능
2.1.5포트와네트워킹기능
2.1.6스크립팅기능
2.1.7서버기능
2.1.8쉘기능
2.2드로저를활용한취약점진단
2.2.1드로저란무엇인가?
2.2.2드로저를활용한앱패키지정보확인
2.2.3드로저를활용한취약점분석
2.2.4모듈관리
2.2.5모듈설치
2.2.6저장소관리
2.3칼리리눅스설치
2.3.1가상이미지다운로드및설정
2.3.2칼리리눅스설치
2.3.3VMwareTools및한글설치
2.3.4참고문헌
2.4마무리하며

3장취약점항목별상세실습
3.1브로드캐스트리시버결함
3.1.1취약점소개
3.1.2취약점진단과정
3.1.3취약점대응방안
3.2취약한인증매커니즘
3.2.1취약점소개
3.2.2취약점진단과정
3.2.3취약점대응방안
3.2.4참고문헌
3.3로컬암호화이슈
3.4.1취약점소개
3.4.2취약점진단과정
3.4.3취약점대응방안
3.4.4참고문헌
3.4액티비티컴포넌트취약점
3.4.1취약점소개
3.4.2취약점진단과정
3.4.3취약점대응방안
3.5루팅탐지및우회
3.5.1취약점소개
3.5.2취약점진단과정
3.5.3취약점대응방안
3.6안전하지않은콘텐츠프로바이더접근
3.6.1취약점소개
3.6.2취약점진단과정
3.6.3취약점대응방안
3.7안전하지않은웹뷰실행
3.7.1취약점소개
3.7.2취약점진단과정
3.7.3취약점대응방안
3.7.4참고문헌
3.8취약한암호화실행
3.8.1취약점소개
3.8.2취약점진단과정
3.8.3취약점대응방안
3.8.4참고문헌
3.9애플리케이션패칭
3.9.1취약점소개
3.8.2취약점진단과정
3.8.3취약점대응방안
3.8.4참고문헌
3.10메모리내민감한정보저장
3.10.1취약점소개
3.10.2취약점진단과정
3.10.3취약점대응방안
3.11안전하지않은로깅매커니즘
3.11.1취약점소개
3.11.2취약점진단과정
3.11.3취약점대응방안
3.12안드로이드키보드캐시이슈
3.12.1취약점소개
3.12.2취약점진단과정
3.12.3취약점대응방안
3.13애플리케이션디버깅기능
3.13.1취약점소개
3.13.2취약점진단과정
3.13.3취약점대응방안
3.13.4참고문헌
3.14안드로이드복사/붙여넣기취약점
3.14.1취약점소개
3.14.2취약점진단과정
3.14.3취약점대응방안
3.15안드로이드백업취약점
3.15.1취약점소개
3.15.2취약점진단과정
3.15.2취약점대응방안
3.16런타임조작
3.16.1취약점소개
3.16.2취약점진단과정
3.16.3취약점대응방안
3.17안전하지않은SDCard저장소
3.17.1취약점소개
3.17.2취약점진단과정
3.17.3취약점대응방안
3.17.4참고문헌
3.18안전하지않은HTTP통신
3.18.1취약점소개
3.18.2취약점진단과정
3.18.3취약점대응방안
3.18.4참고문헌
3.19인자전달값조작
3.19.1취약점소개
3.19.2취약점진단과정
3.19.3취약점대응방안
3.19.4참고문헌
3.20하드코딩보안
3.20.1취약점소개
3.20.2취약점진단과정
3.20.4취약점대응방안
3.21사용자정보목록화이슈
3.21.1취약점소개
3.21.2취약점진단과정
3.21.3취약점대응방안
3.21.4참고문헌
3.22개발자백도어
3.22.1취약점소개
3.22.2취약점진단과정
3.22.3취약점대응방안
3.23취약한패스워드변경실행
3.23.1취약점소개
3.23.2취약점진단과정
3.23.3취약점대응방안
3.23.4마무리하며

4장앱자동분석시스템
4.1샌드드로이드
4.2QARK(QuickAndroidReviewKit)
4.2.1QARK란무엇인가?
4.2.2QARK설치및실행
4.2.3QARK를이용한앱분석
4.2.4분석결과확인
4.3MobileSecurityFramework를활용한자동분석
4.3.1MobSF란무엇인가?
4.3.2MobSF설치및분석환경구축
4.2앱유즈(AppUse)테스팅도구활용법
4.4.1앱유즈란무엇인가?
4.4.2에뮬레이터실행및앱설치
4.4.3지원도구
4.4.4앱리버싱도구및과정설명
4.4.5애플리케이션도구
4.4.6프록시설정
4.5기타자동분석도구활용
4.5.1Inspeckage를활용한앱분석
4.5.2Androbus를활용한앱분석
4.6마무리하며

5장모바일앱보안강화
5.1시큐어코딩개요6
5.2PMD(ProgrammingMistakeDetector)활용
5.2.1PMD란?..468
5.2.2PMD설치
5.2.3인시큐어뱅크소스코드PMD활용
5.3FindBugs/FindSecurityBugs
5.3.1FindBugs란?
5.3.2FindSecurityBugs란?
5.3.3FindBugs/FindSecurityBugs활용
5.4코드난독화적용
5.4.1.프로가드난독화적용방법
5.4.2프로가드난독화활용방법
5.4.3인시큐어뱅크에적용한사례
5.5마무리하며

출판사 서평

★이책의특징★

■실무와동일하게구성된가상뱅킹앱23가지의취약점보안방법을단계별로완벽하게실습
■취약점항목분석에필요한주요도구설명및완벽한활용방법제시
■실무에바로적용할수있는안드로이드앱자동화분석도구활용방법제시
■안드로이드앱취약점과항목별소스코드레벨을포함한대응방안제시

★이책의대상독자★

■모의해킹컨설팅/실무자를꿈꾸는독자
■안드로이드분석가를꿈꾸는독자
■안드로이드분석에관심이있는독자
■입문과정을넘어중급이상의심화과정을원하는독자

★이책의구성★

안드로이드앱취약점분석에관심있거나앞으로모의해킹분야에종사하고자하는입문자들을대상으로구성했다.
1장에서는안드로이드취약점분석실습을하기위한환경구성을다룬다.취약점을진단하려면안드로이드개발환경이필요하며,주요항목을모두점검할테스트앱도필요하다.이책에서는인시큐어뱅크라는취약앱을선택했다.실습환경을단계별로잘구성하여실습을완벽하게따라하기바란다.
2장에서는안드로이드앱진단에많이사용되는도구와기본명령어를다룬다.Androiddebugbridge,Drozer등은4장에서상세진단을할때계속사용할예정이다.이장에서설명하는명령어의쓰임과결과에익숙해져야만진단실습을하는데어려움이없다.
3장에서는인시큐어뱅크에서실습할항목을한단계씩상세하게다룬다.국내에서발표한항목과해외에서발표한항목들을잘조합한형태를인시큐어뱅크에서실습할수있다.이항목들만이해하고국내금융권을포함해실무에서사용되는취약점항목을이해한다면어떤앱이라도어렵지않게다룰수있을것이다.
4장에서는안드로이드모바일앱을자동으로분석할수있는환경과이를활용하는방법을소개한다.3장에서다룬‘항목별상세분석’을바탕으로앱이동적으로어떤행위를하고있는지,정적권한설정이란무엇인지,소스코드내중요한정보들은어떻게저장하는지등을빠르게확인할수있다.수동진단에서놓칠수있는부분은자동분석을이용하면보안위협을감소시킬수있다.
5장에서는개발자측면에서사용할수있는오픈소스소프트웨어및개발자가참고할수있는가이드를소개한다.안드로이드취약점진단항목에맞는시큐어코딩분석도구는존재하지않으며,자바프로그래밍의코드품질및취약점을분석하는플러그인형태도구들이많이있다.실무에서는형상관리시스템과연동하여서비스오픈전에보안성검토의한과정으로진행한다.이책에서는FindBugs와PMD를다룬다.