쉽게 배우는 안드로이드 앱 취약점 진단

책 이미지

eBook 미리보기

책 정보

· 제목 : 쉽게 배우는 안드로이드 앱 취약점 진단 (안드로이드 앱 취약점 분석 실무 기술)
· 분류 : 국내도서 > 컴퓨터/모바일 > 프로그래밍 개발/방법론 > 애플/아이폰/안드로이드 프로그래밍
· ISBN : 9788996427537
· 쪽수 : 367쪽
· 출판일 : 2015-12-10

책 소개

보안컨설팅 시리즈. 안드로이드 앱 취약점 분석이라는 주제를 가지고, 보안컨설팅 업무에 포함되고 있는 안드로이드 앱 취약점 분석을 수행할 수 있는 기술배양을 목적으로 하고 있다.

1. 안드로이드 개념
1.1 안드로이드 애플리케이션 구성요소

1.2 안드로이드 파일시스템 구성

1.3 프로젝트 파일구성
1.3.1 Eclipse(이클립스) 기반
1.3.2 Android Studio(안드로드이 스튜디오) 기반

2. 안드로이드 앱 취약점 점검기준
2.1 금보원(금융보안연구원)의 스마트폰 전자금융서비스 보안가이드

2.2 행정자치부 모바일 대민서비스 보안가이드

2.3 미래창조과학부 모바일 오피스 정보보호 안내서

2.4 기타 보안컨설팅 업체 점검기준

2.5 모바일 OWASP TOP 10 기준

3. 안드로이드 앱 취약점 점검사례 배우기
3.1 점검 애뮬레이터 준비하기
3.1.1 Android Studio기반 애뮬레이터 점검환경구축
3.1.2 adb(Android Debug Bridge)
3.1.3 이클립스 기반 점검환경구축
3.1.4 실 디바이스(스마트폰) 점검환경구축

3.2 컴포넌트(Activity) 악용사례
3.2.1 Activity 개념
3.2.2 APK Tool 설치 및 사용법
3.2.3 Activity 악용사례 실습
3.2.4 Activity 악용 대응방안

3.3 컴포넌트(Content Provider) 악용사례
3.3.1 Content Provider 개념
3.3.2 Content Provider 악용사례 실습
3.3.3 Content Provider 악용 대응방안

3.4 SQL Injection 사례
3.4.1 안드로이드 데이터접근 취약사례
3.4.2 SQL Injection 실습

3.5 악의적인 애플리케이션(악성코드) 분석
3.5.1 악성코드 분석방법
3.5.2 AndroidManifest.xml 파일구조 및 권한
3.5.3 악성코드 온라인 점검

3.6 컴포넌트(Broadcast Receiver) 악용사례
3.6.1 Broadcast Receiver 개념
3.6.2 Intent 개념
3.6.3 Broadcast Receiver 악용사례 실습
3.6.4 Broadcast Receiver 악용 대응방안

3.7 정보노출 악용사례
3.7.1 정보노출 종류 및 악용사례 실습
3.7.2 SharedPreference 에 의한 정보노출 대응방안

3.8 WebView 악용사례
3.8.1 WebView 개념
3.8.2 WebView 구현
3.8.3 WebView 취약점
3.8.4 WebView 악용사례 살펴보기
3.8.5 WebView 악용 대응방안

3.9 루팅 디바이스 탐지 및 우회기법
3.9.1 루팅 개념
3.9.2 루팅 방법
3.9.3 루팅 탐지기법들
3.9.4 루팅 탐지 및 우회사례 실습

3.10 API 후킹을 통한 보안점검
3.10.1 API 개념
3.10.2 후킹 개념
3.10.3 Introspy 설치
3.10.4 타 앱분석결과 샘플

3.11 백업파일 변조 및 복원
3.11.1 백업 개념
3.11.2 백업 실습(1)
3.11.3 백업 실습(2)
3.11.4 백업파일 변조 및 복원 실습
3.11.5 백업파일 변조 및 복원 대응방안

3.12 취약한 암호화 방식
3.12.1 취약한 암호화 개념
3.12.2 취약한 암호화 방식 악용사례 실습

3.13 안드로이드 코드패칭을 통한 앱변조
3.13.1 앱 변조 실습
3.13.2 안드로이드 동적디버깅 실습
3.13.3 안드로이드 동적디버깅 대응방안

3.14 중요데이터 평문전송
3.14.1 진단방법
3.14.2 진단방법 구축

4. 안드로이드 앱 취약점 분석 모의실습
4.1 모의 앱 취약점 분석(1)
4.1.1 중요데이터 평문전송
4.1.2 파라미터 변조

4.2 모의앱(2) 실습
4.2.1 파라미터 변조
4.2.2 안전하지 않은 중요정보저장(1)
4.2.3 안전하지 않은 중요정보저장(2)
4.2.4 인증우회

저자소개

최경철 (지은이) 정보 더보기

숭실대학교를 졸업하고 동 대학원에서 석사학위를 취득하였으며, 아시아나항공, 펜타시큐리티, STG시큐리티를 거쳐 현재 트리니티소프트에서 보안솔루션 개발과 기획을 하고 있다. 주요 관심분야로는 취약점 분석 툴의 패턴과 탐지근거에 대한 조사 및 개발이며, 관련된 연구를 LNCS 등의 학술지에 논문으로 발표하였다 「시스템해킹의 원리와 이해」, 「네트워크패킷포렌식」 ,「웹해킹과 시큐어코딩 탐지/수정 실습가이드」 등의 저서가 있다.

펼치기

최경철의 다른 책 >

문관주 (지은이) 정보 더보기

다수의 기업을 대상으로 보안컬설팅 업무를 수행하였으며, 현재는 금융기관을 대상으로 취약점 분석 평가 업무를 수행하고 있다. 다양한 보안 분야를 섭렵하는 것을 목표로 공부하고 있으며, 관련 저서로는 「쉽게 배우는 안드로이드 앱 취약점 진단」이 있다.

펼치기

문관주의 다른 책 >

이태연 (지은이) 정보 더보기

SK 인포섹에서 기술적 취약점 진단 컨설턴트로서 모의해킹 및 웹 취약점 진단 업무를 수행하고 있으며, 주요 관심사는 모의해킹 및 웹 취약점 진단, 소스코드 분석, 모바일 보안, Python을 이용한 보안 툴 개발 분야 등이다. 다양한 분야에서 스킬을 높이기 위해 노력하고 있다.

펼치기

책속에서

[지은이의 말]

“비키닷컴” 이라는 사이트에서는 방송.영화 콘텐츠를 회원들이 자발적으로 번역을 하며, 다양한 언어로 변환하는 집단지성을 사업모델로 하고 있는 사이트가 있다. 일반적으로 집단지성은 다양한 사람들의 작업으로 인해 의견조율 및 작업시간이 늘어지는 등의 한계성이 존재할 수 밖에 없다고 생각하나 다수의 사람들이 서로 협력 혹은 경쟁을 통해 얻어지는 집단적 능력을 만들 수 있는 것이 더 큰 장점이라고 생각한다.

이번 책도 cafe.naver.com/sec 에서 집단지성을 통해 만들어졌다는 점에서 큰 의미를 가지고 있으며, 또한 다양한 프로젝트를 함께 정리하고 있기 때문에, 관심있는 독자들의 많은 참여를 통해 함께 지식을 공유하는 정보공유체계를 만들어
가고 싶다.

이번 책에서는 안드로이드 앱 취약점 분석이라는 주제를 가지고, 보안컨설팅 업무에 포함되고 있는 안드로이드 앱 취약점 분석을 수행할 수 있는 기술배양을 목적으로 하고 있다.

또한 실제 점검 시 필요한 경험 및 지식을 체계적으로 전달하고 있으며 이를 통해 안드로이드 앱 취약점 분석 실무에도 동일하게 적용할 수 있는 수준까지 제공하는 서적이다.

이 책을 통해 다양한 분야에 도전하고 자신의 분야를 만들어 가는 ” IT보안人”이 되기를 간절히 바란다. 어떠한 마인드와 어떠한 행동으로 자신이 맡은 분야를 체계적으로 정리하여 자신의 것으로 만들고, 또한 이러한 모습을 통해 주변사람들까지 변화시키는 그런 사람이야 말로 우리가 목표로 해야 할 “IT보안人” 상이다.