PMD 활용 PMD 란? PMD는 정적 분석 도구로, 개발 과정에서 소프트웨어의 잠재적인 위협을 찾아주는 오픈소스 도구이다. PMD에서 지원하는 공식적인 플러그인 Maven PMD plugin Eclipse plugin NetBeans plugin JBuilder plugin JDeveloper plugin IntelliH IDEA plugin PMD에서 찾을 수 있는 잠재적인 문제점들의 유형 프로그래밍 결함 불필요한 객체 생성 사용하지 않는 코드 너무 복잡한 코드 중복된 코드 보안 결함 PMD의 동작 과정은 먼저 분석할 자바 프로그램을 읽어들인 후 파서를 이용해 AST를 생성하고 미리 정의된 룰셋에서 해당하는 위협들을 탐지해 보고서에 추가한다. PMD에서 지원하는 기본적인 룰셋의 일부는 아래와 같다. ..
시큐어코딩 개요 시큐어코딩 : 소프트웨어 개발 단계에서 보안 취약점을 사전에 제거하여 안전한 소프트웨어를 개발하는 코딩 기법 대부분 보안 취약점은 개발자의 미숙한 코딩에서 비롯되어 발생하며, 개발 단계에서 안전하게 개발한 경우 보안 취약점을 예방할 수 있다. 물론 프로그램 언어, 플랫폼적 문제, 소프트웨어 설계상의 문제로 인한 취약점도 있다. 개발 가이드는 다음과 같다. 국내 : 한국인터넷진흥원에서 발행하는 시큐어 코딩 관련 가이드 소프트웨어 개발 보안 가이드 JAVA 시큐어 코딩 가이드 C 시큐어 코딩 가이드 Android-Java 시큐어 코딩 가이드 국외 : CENT에서 발행한 CENT 표준 개발 가이드(CERT Coding Standatds) Andoid, C, C++, JAVA, Perl 등 그 ..
Androbugs를 활용한 앱 분석 Androbugs 프레임워크는 단일 앱의 취약점을 빠르게 분석할 수 있는 프레임워크이다. 파이썬 2.7.x 버전에서 PyMongo 라이브러리만 설치되면 간단하게 앱 진단이 가능하다. 현재 .exe 파일로 제공되어 파이썬 명령어 없이도 사용이 가능하다. 명령어 : androbugs.exe -f InsecureBankv2.apk https://github.com/AndroBugs/AndroBugs_Framework 아래 사진은 Androbugs 사용 화면이다. 결과 보고서는 Androbugs 폴더의 Reports 폴더에 생성되어 있다. Androbugs를 활용한 앱 분석 오탐 발생 혹은 검출 확률이 적을 수 있지만, 인시큐어뱅크 앱 분석 결과에서는 상세 분석 시 진행했던 ..
Inspeckage를 활용한 앱 분석 Inspeckage는 디바이스에 설치되며 앱 API 함수를 후킹하여 동적 분석한 내용을 웹 서비스 기반으로 보여주는 앱이다. 서버에 요청하는 값, 앱 권한, 공유 라이브러리, 노출된 앱 취약점 등을 확인할 수 있다. 특히 중요 설정 파일들과 파일 접근, 데이터베이스 접근 정보들을 실시간으로 파악할 수 있기 때문에 액티비티 동작 과정에서 어떤 행위를 하는지 정확하게 파악할 수 있다. ⇒ 악성코드 앱 분석 시 유용함 Inspeckage 실행 전 Xposed Framework 앱을 설치해야 한다. https://repo.xposed.info/module/de.robv.android.xposed.installer 위 사이트로 이동하여 apk 파일을 다운받는다. > 설치과정 ..
앱 유즈(AppUse) 테스팅 도구 활용 AppUse 란? 앱 유즈는 AppSec Labs에서 제작된 안드로이드 분석 및 보안 테스팅 도구다. 기존 수동으로 분석했던 작업들을 간단하고 편리하게 진행할 수 있도록 가상 이미지 형태로 제공한다. Android : 에뮬레이터 관련 기능 수행 ex) Launch Emulator, Restart ADB, Check device, Root device, Take screenshot, open ADB shell, open output folder, clean output folder Tool : 진단 관련 기능 수행 ex) Launch Burp, Launch Wireshark, Launch Eclipse, Launch Mercury, Launch SQLLite Bro..
MobSF를 활용한 자동 분석 MobSF 란? SandDroid는 온라인 분석 도구로 노출 가능성이 있는 반면, MobSF는 오프라인 분석을 위한 소스 프레임워크로 시스템 내부에 자동 분석 시스템 구축 시 사용한다. MobSF(Mobile Security Framework)는 오픈소스 모바일 앱 자동화 보안 진단 프레임워크이다. 모바일 앱 정적/동적 분석을 자동 수행한다. Web API Fuzzer 기능도 지원한다. ⇒ 취약한 Web API를 감지하고 해당 API에 대한 퍼징이 가능하다. 윈도우, 리눅스, 맥 OS 모두 지원한다. MobSF 설치 및 분석 환경 구축 아래 링크에서 다운받을 수 있다. https://github.com/MobSF/Mobile-Security-Framework-MobSF/re..
QARK QARK 란? QARK(Quick Android Review Kit)는 오픈소스 안드로이드 앱 취약점 진단 프레임워크다. 기존의 상용 도구들과 같이 간편하게 앱에 대한 자동화 진단을 제공한다. > 진단 가능 보안 취약점 더보기 Inadvertently exported components Improperly protected exported components Intents which are vulnerable to interception or eavesdropping Improper x.509 certificate validation Creation of world-readable or world-writeable files Activities which may leak data The use ..
샌드드로이드 SandDroid는 안드로이드 앱 온라인 자동 분석 시스템으로, APK 또는 ZIP 파일을 업로드하면 정적 및 동적 분석을 해준다. 아래 화면은 샌드드로이드의 메인 페이지이다. http://sanddroid.xjtu.edu.cn/ > SandDroid Analysis list 더보기 SandDroid Static Analysis (정적 분석 항목) 기본 정보 인증 분석 카테고리 분석 권한 분석 구성 요소 분석 코드 분석 광고 모듈 분석 민감한 API 분석 SandDroid Dynamic Analysis (동적 분석 항목) 네트워크 분석 HTTP 데이터 분석 IP 분석 파일 분석 SMS 및 전화 기록 분석 SMS 차단 모니터 암호화 분석 데이터 누출 분석 정적, 동적 분석이 끝나면 분석 결과를..
