HOME > Detail View

Detail View

안드로이드 보안과 침투 테스팅 : 안드로이드 공격 요소 실습부터 침투 보고서 작성법까지

안드로이드 보안과 침투 테스팅 : 안드로이드 공격 요소 실습부터 침투 보고서 작성법까지 (Loan 6 times)

Material type
단행본
Personal Author
Gupta, Aditya 김예솔, 역
Title Statement
안드로이드 보안과 침투 테스팅 : 안드로이드 공격 요소 실습부터 침투 보고서 작성법까지 / 아디트야 굽타 지음 ; 김예솔 옮김
Publication, Distribution, etc
서울 :   에이콘,   2016  
Physical Medium
158 p. : 삽화 ; 24 cm
Series Statement
acorn+PACKT technical book
Varied Title
Learning pentesting for Android devices : a practical guide to learning penetration testing for Android devices and applications
ISBN
9788960778269 9788960772106 (Set)
General Note
기술감수: 세이톤 브래드퍼드(Seyton Bradford), 루이 군살루(Rui Gonçalo), 글라우코 마르다노(Glauco Mardano), 엘라드 샤피라(Elad Shapira)  
색인수록  
000 00000cam c2200205 c 4500
001 000045894321
005 20170203175129
007 ta
008 170203s2016 ulka 001c kor
020 ▼a 9788960778269 ▼g 94000
020 1 ▼a 9788960772106 (Set)
035 ▼a (KERIS)BIB000014015354
040 ▼a 221016 ▼c 211009 ▼d 211009
041 1 ▼a kor ▼h eng
082 0 4 ▼a 005.8 ▼2 23
085 ▼a 005.8 ▼2 DDCK
090 ▼a 005.8 ▼b 2016z21
100 1 ▼a Gupta, Aditya
245 1 0 ▼a 안드로이드 보안과 침투 테스팅 : ▼b 안드로이드 공격 요소 실습부터 침투 보고서 작성법까지 / ▼d 아디트야 굽타 지음 ; ▼e 김예솔 옮김
246 1 9 ▼a Learning pentesting for Android devices : ▼b a practical guide to learning penetration testing for Android devices and applications
260 ▼a 서울 : ▼b 에이콘, ▼c 2016
300 ▼a 158 p. : ▼b 삽화 ; ▼c 24 cm
440 0 0 ▼a acorn+PACKT technical book
500 ▼a 기술감수: 세이톤 브래드퍼드(Seyton Bradford), 루이 군살루(Rui Gonçalo), 글라우코 마르다노(Glauco Mardano), 엘라드 샤피라(Elad Shapira)
500 ▼a 색인수록
700 1 ▼a 김예솔, ▼e
900 1 0 ▼a 굽타, 아디트야, ▼e
945 ▼a KLPA

Holdings Information

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.8 2016z21 Accession No. 121239040 Availability Available Due Date Make a Reservation Service B M

Contents information

Book Introduction

acorn+PACKT 시리즈. 이 책은 기본적인 안드로이드 보안 개념부터 침투 테스팅과 안드로이드 감사까지 다루는 실용적인 실무 가이드다. 기본적인 안드로이드 보안을 시작으로 권한 모델과 리눅스 샌드박싱, DVM을 다룬다. 보안 취약점을 찾기 위해 수동 분석과 자동화된 툴을 사용해 보안관점에서의 내부 안드로이드 애플리케이션과 리버싱, 보안 감사도 함께 다룬다. 또한, 안드로이드 애플리케이션의 동적 분석과 더불어 기기와 애플리케이션의 익스플로테이션, 감사 프로젝트를 위한 침투 테스팅 보고서 작성도 배운다.

★ 요약 ★

이 책은 기본적인 안드로이드 보안 개념부터 침투 테스팅과 안드로이드 감사까지 다루는 실용적인 실무 가이드다. 기본적인 안드로이드 보안을 시작으로 권한 모델과 리눅스 샌드박싱, DVM을 다룬다. 보안 취약점을 찾기 위해 수동 분석과 자동화된 툴을 사용해 보안관점에서의 내부 안드로이드 애플리케이션과 리버싱, 보안 감사도 함께 다룬다. 또한, 안드로이드 애플리케이션의 동적 분석과 더불어 기기와 애플리케이션의 익스플로테이션, 감사 프로젝트를 위한 침투 테스팅 보고서 작성도 배운다.

★ 이 책에서 다루는 내용 ★

■ 기본적인 안드로이드 보안 구조와 권한 모델
■ 안드로이드 디버그 브리지(adb) 사용법
■ 보안 관점에서의 내부 안드로이드 애플리케이션
■ 안드로이드 애플리케이션 리버싱
■ 안드로이드 기기의 트래픽 분석
■ 안드로이드 포렌식과 데이터 획득 개념
■ OWASP 모바일 탑 10과 콘텐츠 제공자 유출, SQLite 인젝션, 안전하지 않는 데이터 저장, 웹뷰(WebView) 취약점을 포함한 애플리케이션 레벨의 취약점과 익스플로테이션
■ 안드로이드 애플리케이션 감사 프로젝트를 위한 침투 테스팅 보고서 작성

★ 이 책의 대상 독자 ★

안드로이드 보안이나 안드로이드 애플리케이션 감사에 입문하려는 독자를 위한 책이다. 안드로이드 애플리케이션 보안의 가장 기본적인 수준부터 고급 수준까지 다루기 때문에 안드로이드 개발자가 아니어도 괜찮다. 만약 독자가 개발자라면 이 책에서 배운 기술을 이용해 안드로이드 애플리케이션의 취약점을 피하고 보안 코드 작성법을 배울 수 있다.

★ 이 책의 구성 ★

1장, '안드로이드 보안 시작'에서는 기본적인 안드로이드 보안 구조에 대해 설명한다. 권한 모델과 애플리케이션의 권한이 적용되는 방법을 다룬다. 또한, 달빅(Dalvik) 가상 환경과 애플리케이션 APK 기본 사항에 대해서도 알아본다.

2장, '침투 환경 구성'에서는 안드로이드 침투 테스팅을 위한 환경 구축 과정을 자세히 제공한다. 안드로이드 디버그 브리지와 안드로이드 침투 테스팅에 필요한 중요 툴을 다룬다.

3장, '리버싱과 안드로이드 앱 감사'에서는 안드로이드 애플리케이션을 리버싱하는 데에 사용되는 방법과 기술을 다룬다. 안드로이드 애플리케이션 감사를 위해 침투 테스터들에게 도움이 되는 툴을 설명하고 안드로이드 애플리케이션에 존재하는 다양한 종류의 취약점(사용자의 데이터를 위험하게 만드는 것들)을 알아본다.

4장, '안드로이드 기기의 트래픽 분석'에서는 안드로이드 기기 애플리케이션의 트래픽 차단을 다룬다. 트래픽을 가로채는 능동적/수동적인 방법과 HTTP/HTTPS 네트워크 트래픽도 알아본다. 안드로이드 플랫폼에서 애플리케이션 감사를 위한 유용한 과정 중 하나인 트래픽 캡처와 서비스 분석 방법도 살펴본다.

5장, '안드로이드 포렌식'에서는 안드로이드 포렌식에 대한 기본적인 설명을 시작으로 안드로이드 기반 스마트폰에서 데이터 추출에 대한 다양한 기술을 제공한다. 논리적/물리적인 포렌식 데이터 수집과 데이터 추출 과정을 쉽게 하는 툴도 다룬다.

6장, 'SQLite 사용'에서는 데이터를 저장하기 위해 안드로이드가 사용하는 SQLite 데이터 베이스에 대해 깊이 있는 지식을 얻을 수 있다. 종종 개발자의 실수로 인해 SQLite 쿼리가 처리되지 않은 입력 값을 받아들이거나 적절한 권한 없이 사용될 경우 인젝션 공격에 이르게 한다.

7장, '알려지지 않은 안드로이드 공격'에서는 안드로이드 침투 테스팅에 도움이 되는 알려지지 않은 다양한 기술을 알아본다. 웹뷰(WebView) 취약점과 익스플로테이션(exploitation), 정상적인 애플리케이션의 감염, 크로스 애플리케이션 스크립팅과 같은 주제를 포함한다.

8장, 'ARM 익스플로테이션'에서는 요즘 대부분의 스마트폰에서 사용 중인 ARM 플랫폼에 대한 익스플로테이션 지식을 소개한다. ARM 어셈블리와 버퍼 오버플로우, Ret2Libc, ROP에 대해서도 배운다.

9장, '침투 테스트 보고서 작성'에서는 안드로이드 애플리케이션 감사를 위한 보고서 작성 방법에 대해 간단히 설명한다. 침투 테스팅 보고서의 다양한 요소들을 하나씩 설명하며 직접 침투 테스팅 보고서를 작성할 수 있게 돕는다.


Information Provided By: : Aladin

Author Introduction

아디트야 굽타(지은이)

모바일 보안 회사인 Attify의 설립자이자 트레이너로 대표적인 모바일 보안 전문가다. 익스플로테이션을 위한 안드로이드 프레임워크의 공동 제작자 겸 수석 개발자로, 안드로이드, iOS, 블랙베리와 BYOD 엔터프라이즈 보안을 비롯한 모바일 기기 분야에서 심도 있는 연구를 수행하고 있다. 또한 구글, 페이스북, 페이팔, 애플, 마이크로 소프트, 어도비, 스카이프 등과 같은 많은 웹사이트에서 심각한 웹 애플리케이션 보안 결함을 발견했다. 이전 직장인 Rediff.com에서 웹 애플리케이션 보안과 보안 자동화를 리드하는 역할을 담당했고, 기관의 이슈를 처리하기 위해 여러 내부 보안 툴도 개발했다. XYSEC에서 VAPT와 모바일 보안 분석을 수행하기 위해 노력했으며, 인도의 여러 기관과 개인 고객들에게 모바일 보안과 익스플로테이션, 익스플로잇 개발과 고급 웹 애플리케이션 해킹에 대한 교육과 서비스를 제공했다. 인도의 오픈 보안 커뮤니티인 Null의 멤버로서, 방갈로르와 뭄바이 지부에서 정기적인 모임에 참여하고 Humla 세션에 기여하며 활발한 활동을 하고 있다. 또한 BlackHat, Syscan, Toorcon, PhDays, OWASP AppSec, ClubHack, Nullcon, ISACA 같은 다양한 보안 컨퍼런스에서 수시로 발표와 교육을 진행한다. 현재 애플리케이션 감사 서비스와 교육을 제공하고 있으며 이메일(adi@attify.com) 또는 트위터(@adi1391)를 통해 연락할 수 있다.

김예솔(옮긴이)

정보보안회사에서 약 3년간 해외 고객을 대상으로 통합보안관리 시스템(ESM)의 기술지원을 담당했고 현재는 게임회사에서 테크니컬 라이터로 영문 기술문서 작성과 모바일 QA를 담당하고 있다. 에이콘출판사에서 펴낸 『Cuckoo 샌드박스를 활용한 악성코드 분석』(2014)을 번역했다.

Information Provided By: : Aladin

Table of Contents

추천의 글 = 4
지은이 소개 = 6
감사의 글 = 7
기술 감수자 소개 = 8
옮긴이 소개 = 10
옮긴이의 말 = 11
들어가며 = 17
1장 안드로이드 보안 시작 = 23
  안드로이드 개론 = 24
  안드로이드 자세히 알아보기 = 27
  샌드박스와 권한 모델 = 31
  애플리케이션 서명 = 36
  안드로이드 시작 프로세스 = 37
  요약 = 41
2장 침투 환경 구성 = 43
  개발 환경 구성 = 44
    안드로이드 가상 기기 만들기 = 48
  안드로이드 침투 테스팅에 유용한 유틸리티 = 50
    안드로이드 디버그 브리지 = 50
    Burp Suite = 53
    APKTool = 56
  요약 = 57
3장 리버싱과 안드로이드 앱 감사 = 59
  안드로이드 애플리케이션의 APK 구성 요소 = 59
  안드로이드 애플리케이션 리버싱 = 62
  Apktool을 이용한 안드로이드 애플리케이션 리버싱 = 64
  안드로이드 애플리케이션 감사 = 66
  콘텐츠 제공자 유출 = 67
  취약한 파일 저장 장치 = 71
    경로 탐색 취약점 또는 로컬 파일 포함 = 72
    클라이언트 측의 인젝션 공격 = 73
  모바일 OWASP 탑 10 취약점 = 75
  요약 = 77
4장 안드로이드 기기의 트래픽 분석 = 79
  안드로이드 트래픽 가로채기 = 79
  안드로이드 트래픽을 분석하는 방법 = 80
    수동 분석 = 80
    능동 분석 = 85
  HTTPS 프록시 가로채기 = 88
    SSL 트래픽을 가로채는 또 다른 방법 = 91
  패킷 캡처로 민감한 파일 추출 = 92
  요약 = 94
5장 안드로이드 포렌식 = 95
  포렌식의 종류 = 95
  파일시스템 = 96
    안드로이드 파일시스템 파티션 = 97
  데이터 추출을 위한 dd 툴 사용하기 = 98
    사용자 정의 복구 이미지 사용하기 = 100
  Andriller를 이용한 애플리케이션의 데이터 추출 = 102
  AFLogical을 이용한 연락처와 통화 내역, 문자 메시지 추출 = 104
  수동으로 애플리케이션 데이터베이스를 덤프하기 = 106
  Logcat 로깅 = 110
  Backup을 이용한 애플리케이션의 데이터 추출 = 111
  요약 = 114
6장 SQLite 사용 = 115
  SQLite 자세히 알기 = 116
    SQLite를 이용한 간단한 애플리케이션 분석 = 116
  보안 취약점 = 119
  요약 = 123
7장 알려지지 않은 안드로이드 공격 = 125
  안드로이드 웹뷰 취약점 = 125
    애플리케이션에서 웹뷰 사용 = 126
    취약점 식별 = 126
  합법적인 APK 감염시키기 = 130
  광고 라이브러리 취약점 = 131
  안드로이드 크로스 애플리케이션 스크립팅 = 132
  요약 = 134
8장 ARM 익스플로테이션 = 135
  ARM 구조 소개 = 135
    실행 모드 = 137
  환경 설정 = 137
  스택 기반의 버퍼 오버플로우 = 139
  리턴 지향 프로그래밍 = 142
  안드로이드 루팅 익스플로잇 = 143
  요약 = 144
9장 침투 테스트 보고서 작성 = 145
  침투 테스팅 보고서의 기본 사항 = 145
  침투 테스팅 보고서 작성 = 146
    내용 요약 = 146
    취약점 = 147
    작업 범위 = 147
    사용된 툴 = 147
    테스팅 방법론 = 147
    해결 방안 = 148
    결론 = 148
    부록 = 148
  요약 = 148
찾아보기 = 156

New Arrivals Books in Related Fields

Anson, Steve (2022)
한국. 행정안전부 (2022)
한국. 행정안전부 (2022)
황기태 (2021)