모바일 애플리케이션 침투 테스팅 (iOS/안드로이드 애플리케이션의 동작 원리와 예제를 중심으로)

Name: 모바일 애플리케이션 침투 테스팅 (iOS/안드로이드 애플리케이션의 동작 원리와 예제를 중심으로)
Brand: 에이콘출판 - 비제이 쿠마 벨루
SKU: 9791161750057
Price: 30.61 USD
Availability: InStock
Rating: 0 (0 reviews)

$30.61

Ask a Question

Vendor: 에이콘출판 - 비제이 쿠마 벨루

Type: 모바일프로그래밍일반

SKU: 9791161750057

Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_프로그래밍 개발/방법론

Tags: 모바일애플리케이션침투테스팅iOS안드로이드애플리케이션의동작원리와예제를중심으로 컴퓨터/IT_모바일프로그래밍

Description

모바일 기기의 사용자 수가 늘어나고 용도와 기능이 확대되면서 기기에서 동작하는 애플리케이션도 다양해지고 있다. 동시에 모바일 애플리케이션에 대한 공격 방법과 가능성이 커지면서 애플리케이션 보안에 대한 중요성도 높아지고 있다.

『모바일 애플리케이션 침투 테스팅』은 iOS와 안드로이드 플랫폼에서 동작하는 애플리케이션의 보안 검증을 위한 침투 테스트 방법론을 여러 예제와 함께 다룬다. 방법론을 설명하기에 앞서 각 플랫폼의 동작 원리와 보안 모델을 설명해, 잠재적인 애플리케이션 취약점을 생각해볼 수 있게 한다. 마지막 부분에서는 앞서 다룬 잠재적 공격에 대해 애플리케이션의 보안을 어떻게 강화할 수 있을지에 대해 다룬다.

이 책의 개념과 기법들은 모바일 애플리케이션 개발자와 보안 전문가 뿐만 아니라, 모바일 애플리케이션 개발을 배우고자 하는 독자들에게도 도움이 될 것이다.

저자

비제이쿠마벨루

저자비제이쿠마벨루(VijayKumarVelu)는현재인도의가장큰자문회사네군데중한곳의사이버보안기술관리자로일하며,열정적인정보보안전문가이자,발표자로블로그를운영하고있다.10년이상IT산업계에서경험을쌓았으며,침투테스터자격을갖고있다.그리고간단한보안설정검토부터사이버위협고도화에이르는다양한사이버프로그램의기술솔루션을전문적으로제공한다.CEH(CertifiedEthicalHacker),ECSA(EC-councilCertifiedSecurityAnalyst),CHFI(ComputerHackingForensicsInvestigator)를포함한다수의보안자격을획득했다.실무에활용할수있는기술적인도전을좋아한다.
NCSS(NationalCyberSecuritySummit)와InCyCon(IndianCyberConference),OpenCloudConference그리고인디아에서열린EthicalHackingConference에초청돼발표했으며,인도의여러경영대학원에서정보보안의중요성에대한다수의트레이닝과초청강연을했다.정보보안커뮤니티에서CSA(CloudSecurityAlliance)의대표와NCDRC(NationalCyberDefenceandResearchCenter)의이사직을맡고있다.

1장.모바일애플리케이션보안지형
__스마트폰시장점유율
____안드로이드운영체제
____iPhone운영체제
__모바일애플케이션의형태
____네이티브앱
____모바일웹앱
____하이브리드앱
__공개된안드로이드와iOS취약점
____안드로이드취약점
____iOS취약점
__모바일애플리케이션보안의어려움
____모바일애플리케이션보안의영향력
____모바일애플리케이션침투테스트의필요성
__모바일애플리케이션침투테스팅방법론
____발견
____분석/평가
____공격(Exploitation)
____보고
__OWASP모바일보안프로젝트
____OWASP10대모바일위험요소
____테스트를위한취약한애플리케이션
__요약

2장.아키텍처맛보기
__아키텍처의중요성
__안드로이드아키텍처
____리눅스커널
____안드로이드런타임
____자바가상머신
____달빅가상머신
____핵심자바라이브러리
____ART
____네이티브라이브러리
____애플리케이션프레임워크
____애플리케이션레이어
____안드로이드애플리케이션구성요소
____안드로이드디버그브릿지
____애플리케이션샌드박싱
____애플리케이션서명
____안전한프로세스간통신
____안드로이드권한모델
____안드로이드애플리케이션제작과정
____안드로이드루팅
__iOS아키텍처
____CocoaTouch
____Media
____코어서비스
____코어OS
__iOSSDK와Xcode
__iOS애플리케이션프로그래밍언어
____Objective-C
____Swift
__애플리케이션상태에대한이해
__애플의iOS보안모델
____기기수준보안
____시스템수준보안
____데이터수준보안
__iOS8과9에서의변화
____네트워크수준보안
____애플리케이션수준보안
____iOS앱샌드박스
__iOS격리
____프로세스격리
____파일시스템격리
____ASLR
____스택보호(실행불가능스택과힙)
__하드웨어수준보안
__iOS권한
__iOS애플리케이션구조
__탈옥
____왜탈옥을하는가?
____탈옥의종류
____탈옥도구한눈에보기
__Mach-O바이너리파일포맷
____Mach-O바이너리검사
__프로퍼티리스트
__iOS파일시스템탐색
__요약

3장.테스트환경구축
__모바일앱침투테스트환경설정
__안드로이드스튜디오와SDK
____안드로이드SDK
__안드로이드디버그브리지
__기기에연결하기
____기기의접근권한얻기
____기기에애플리케이션설치
____기기로부터파일추출하기
____기기에파일저장하기
____서비스중지시키기
____로그정보보기
____앱사이드로딩하기
____Monkeyrunner
__Genymotion
____안드로이드가상에뮬레이터생성하기
____Genymotion에뮬레이터에애플리케이션설치하기
____Genymotion에뮬레이터에취약한앱설치하기
____안드로이드스튜디오에Genymotion플러그인설치하기
____Genymotion에서ARM앱과PlayStore
__에뮬레이터에서HTTP프록시설정하기
____Wi-Fi설정에서프록시설정
____모바일캐리어설정에서프록시설정
__GoogleNexus5?실제기기설정하기
__iOSSDK(Xcode)
__필요한도구와함께iPhone/iPad설정하기
____Cydia
__SSH클라이언트-PuTTy와WinSCP
____iFunbox살펴보기
____Wi-FI없이SSH접속하기
____Wi-Fi를사용할수있을때SSH접속하기
____기기에DVIA설치하기
____애플기기에HTTP프록시설정하기
__에뮬레이터와시뮬레이터,실제기기
____시뮬레이터
____에뮬레이터
____실제기기
__요약

4장.로딩업-모바일침투테스팅도구
__안드로이드보안도구
____APKAnalyser
____Drozer
____APKTool
____dex2jarAPI
____JD-GUI
____Androguard
____자바디버거소개
____기타도구목록
__iOS보안도구
____oTool
____SSLKillSwitch
____keychaindumper
____LLDB
____Clutch
____Class-dump-z
____Cycript를사용한인스트루먼테이션
____Frida를사용한인스트루먼테이션
____HopperSnoop-it
____iOS기기에BurpCA인증서설치하기
__요약

5장.공격경로만들기-애플리케이션위협모델링
__자산
__위협
____위협에이전트
__취약점
__위험요소
__위협모델접근법
__모바일애플리케이션위협모델링
____모바일애플리케이션아키텍처
____위협모델을어떻게생성할까?
____위협모델링방법론
____STRIDE를사용한위협분류
____스푸핑
____일반적인모바일애플리케이션위협모델
____공격계획과공격트리만들기
____위협모델의결과물
____위험요소평가모델
__요약

6장.전속력으로-안드로이드애플리케이션공격
__대상앱설정하기
____백엔드서버설치
__Drozer를사용해앱분석하기
__안드로이드구성요소
____액티비티공격하기
____서비스공격하기
____브로드캐스트리시버공격하기
____컨텐트프로바이더공격하기
__웹뷰공격하기
__SQL인젝션
__중간자공격
____SSL피닝
__하드코딩된자격증명
__클라이언트측에서의암호화와복호화
__JDWP를사용한런타임조작
__저장소/아카이브분석
__로그분석
__구현상취약점평가하기
__바이너리패칭
__요약

7장.전속력으로-iOS애플리케이션공격
__대상설정하기
__저장소/아카이브분석
____Plist파일
____클라이언트측데이터저장소
____키체인데이터
____HTTP응답캐싱
__리버스엔지니어링
____클래스정보추출
____Strings
____메모리관리
____스택스매싱보호
__정적코드분석
____OpenURL스킴
__Hopper를사용한앱패칭
__하드코딩된사용자이름과패스워드
__Cycript를사용한런타임조작
____로그인과정우회
____메모리상의민감한정보
__Dumpdecrypted
__클라이언트측인젝션
__SQL인젝션
____UIWebView인젝션
__중간자공격
____SSL인증서피닝깨기
__구현취약점
____Pasteboard정보유출
____키보드로그
____앱상태보존
__LLDB를사용한원격추적기만들기
__평가를위한Snoop-IT
__요약

8장.안드로이드와iOS애플리케이션보호하기
__안전한설계
__개발자를위한보안마인드맵(iOS와안드로이드)
__기기수준
____플랫폼(OS)수준
____애플리케이션수준
__네트워크수준
____인증서피닝
____사이퍼수트
____CFNetworkusage
____안전한캐싱
__서버수준
__OWASP모바일앱보안체크리스트
____모바일앱개발자체크리스트
__안전한코딩모범사례
____안드로이드
____iOS
____제조사중립적인조언
____개발자치트시트
____개발자정책
__배포이후보호
____최신정보알기
__요약

출판사 서평

★이책에서다루는내용★
■안드로이드,iOS의아키텍처와최근변경사항에대한깊은이해
■모든애플리케이션을평가하기위한여러가지도구의사용법
■모바일기기에연결하기위한전략과기법개발
■모바일애플리케이션보안원칙의기초
■안드로이드기기의구성요소와iOS기기의기능을공격하기위한기법
■안드로이드,iOS애플리케이션을위한안전한개발전략
■모바일애플리케이션에대한위협모델링이해
■안드로이드,iOS의구현취약점과모바일앱개발과정에서의대응책에대한이해

★이책의대상독자★
모바일애플리케이션리더,모바일애플리케이션개발자,정보보안실무자,인프라스트럭쳐웹애플리케이션침투테스터,애플리케이션보안전문가에게추천한다.
모바일애플리케이션보안을직업으로삼으려고한다면,이책은여러분은위한것이다.이책은안드로이드와iOS에대한침투테스트를시작하기위해필요한모든기술들을제공한다.

★이책의구성★
1장,‘모바일애플리케이션보안지형’에서는모바일애플리케이션보안의현상태와안드로이드와iOS애플리케이션에서공개된취약점에대한개요를설명한다.또한취약점에대한기준과모바일애플리케이션을안전하게만드는원칙을세우기위해OWASP10대취약점에대해배운다.
2장,‘아키텍처맛보기’에서는아키텍처의중요성을이야기하고,안드로이드와iOS아키텍처의기본적인내부구조에대해알아본다.
3장,‘테스트환경구축하기’에서는주어진워크스테이션에서테스트환경을어떻게설정하는지살펴보고,안드로이드와iOS기기에서의단계별과정을알아본다.
4장,‘로딩업-모바일침투테스팅도구’에서는주어진모바일앱을평가하는데필요한도구를워크스테이션에서어떻게빌드하고설정하는지알아본다.
5장,‘공격경로만들기-애플리케이션위협모델링’에서는주어진위협모델에대해공격경로와공격트리를어떻게만드는지알아본다.
6장,‘전속력으로-안드로이드애플리케이션공격’에서는안드로이드애플리케이션의보안취약점과그것을공격하기위해안드로이드애플리케이션에어떻게침투하는지알아본다.
7장,‘전속력으로-iOS애플리케이션공격’에서는iOS애플리케이션의취약점과애플리케이션에영향을주는기기취약점을공격하기위해iOS애플리케이션에어떻게침투하는지알아본다.
8장,‘안드로이드와iOS애플리케이션보호’에서는설계단계부터안드로이드와iOS애플리케이션을보호하는실제방법을알아보고,기기의민감한데이터를보호하기위한여러가지API활용법을알아본다.