Self-Improvement
안드로이드 앱 취약점 환경구축 (Nox - drozer) 본문
https://labs.f-secure.com/tools/drozer/
Drozer
labs.f-secure.com
사용 운영체제: Windows 7 Enterprise K 64 비트
사용 프로그램: VMware Workstation 14 Pro
*OWASP Mobile Top10 Risk
*인시큐어뱅크
취약한 안드로이드 어플리케이션을 테스트 및 시험함으로써 보안 전문가와 개발자가 안드로이드 보안 위험을 배우도록 하기 위해 개발된 앱이다.
사용자 ID/PASS : dinesh/Dinesh@123$
or
사용자 ID/PASS : jack/Jack@123$
*정적분석 도구 - ADB
Command Mode( cmd )에서 Android 기반의 Device와 연결이 가능하며, File Transfer, Application Install, Device Status, Shell 등 여러 기능을 수행할 수 있다. Android 기반의 Smart Device를 Debug 혹은 기타 다른 목적으로 PC와 연결할 때에는 ADB가 반드시 필요한데, ADB는 Android 공식 홈페이지에서 간접적으로 제공한다. 간접적이라는 의미는 ADB를 설치하기 위해선 Android SDK가 설치가 되어있어야 한다.
*동적분석 도구 - Android-Logviewer / adb -d logcat / DDMS
Android Studio 내장된 기능인 logviewer, logcat, ddms 등을 사용한다. DDMS는 에뮬레이터 파일 시스템을 탐색할 수 있고, 로그 및 디버깅 환경을 제공한다.
*정적분석 환경 구축
1. adb 설치 (설치후 adb파일 경로를 PATH 변수에 설정)
2. python 2.7.x 버전 설치(PATH 변수 설정)
- python -m pip install --upgrade pip
- pip install "cherrypy>=3.0.8,<9.0.0"
- pip install sqlalchemy
- pip install Flask-sqlalchemy
- pip install simplejson
- python app.py
3. 안드로이드 스튜디오 설치
- run- > edit configurations > target : USB Device
4. NOX
- root 켜기
- 개발자 옵션 설정
5. drozer(안드로이드 앱 진단을 할때 사용할 수 있는 도구들의 집함) 설치
- adb install agent.apk 명령어로 녹스에 설치
dorzer.agent와 인시큐어뱅크를 설치한다.
*구동 확인
인시큐어뱅크 애플리케이션 실행
Username : jack
Password : Jack@123$
drozer 애플리케이션 실행
'AOS' 카테고리의 다른 글
| 액티비티 컴포넌트 취약점 (0) | 2018.10.22 |
|---|---|
| 브로드캐스트 리시버 취약점 (0) | 2018.10.22 |
| 모바일 2016년 OWASP TOP10 (0) | 2018.10.20 |
| Drozer (0) | 2018.10.20 |
| Kali Linux에 안드로이드 앱 취약점 환경 구축하기 (0) | 2018.10.20 |
