간편결제, 신용카드 청구할인
네이버페이 1%
(네이버페이 결제 시 적립)
NH(올원페이)카드 12% (11,880원)
(3만원 이상 결제/최대 1만원 할인)
북피니언 롯데카드 30% (9,450원)
(최대할인 3만원 / 3만원 이상 결제)
하나SK 북&카드 30% (9,450원)
(최대할인 3만원 / 3만원 이상 결제)
EBS 롯데카드 20% (10,800원)
(최대할인 3만원 / 3만원 이상 결제)
인터파크 NEW 우리V카드 10% (12,150원)
(최대할인 3만원 / 3만원 이상 결제)
인터파크 현대카드 7% (12,560원)
(최대할인 3만원 / 3만원 이상 결제)
Close

안드로이드 보안과 침투 테스팅 : 안드로이드 공격 요소 실습부터 침투 보고서 작성법까지

원제 : Learning Pentesting for Android Devices

2013년 9월 9일 이후 누적수치입니다.

판매지수 21
?
판매지수란?
사이트의 판매량에 기반하여 판매량 추이를 반영한 인터파크 도서에서의 독립적인 판매 지수입니다. 현재 가장 잘 팔리는 상품에 가중치를 두었기 때문에 실제 누적 판매량과는 다소 차이가 있을 수 있습니다. 판매량 외에도 다양한 가중치로 구성되어 최근의 이슈도서 확인시 유용할 수 있습니다. 해당 지수는 매일 갱신됩니다.
Close
공유하기
정가

15,000원

  • 13,500 (10%할인)

    750P (5%적립)

할인혜택
적립혜택자동적립
배송정보
주문수량
감소 증가
  • 이벤트/기획전

  • 연관도서(321)

  • 사은품(2)

책소개

안드로이드 공격 요소 실습부터 침투 보고서 작성법까지

이 책은 기본적인 안드로이드 보안 개념부터 침투 테스팅과 안드로이드 감사까지 다루는 실용적인 실무 가이드다. 기본적인 안드로이드 보안을 시작으로 권한 모델과 리눅스 샌드박싱, DVM을 다룬다. 보안 취약점을 찾기 위해 수동 분석과 자동화된 툴을 사용해 보안관점에서의 내부 안드로이드 애플리케이션과 리버싱, 보안 감사도 함께 다룬다. 또한, 안드로이드 애플리케이션의 동적 분석과 더불어 기기와 애플리케이션의 익스플로테이션, 감사 프로젝트를 위한 침투 테스팅 보고서 작성도 배운다.

출판사 서평

★ 이 책에서 다루는 내용 ★

■ 기본적인 안드로이드 보안 구조와 권한 모델
■ 안드로이드 디버그 브리지(adb) 사용법
■ 보안 관점에서의 내부 안드로이드 애플리케이션
■ 안드로이드 애플리케이션 리버싱
■ 안드로이드 기기의 트래픽 분석
■ 안드로이드 포렌식과 데이터 획득 개념
■ OWASP 모바일 탑 10과 콘텐츠 제공자 유출, SQLite 인젝션, 안전하지 않는 데이터 저장, 웹뷰(WebView) 취약점을 포함한 애플리케이션 레벨의 취약점과 익스플로테이션
■ 안드로이드 애플리케이션 감사 프로젝트를 위한 침투 테스팅 보고서 작성

★ 이 책의 대상 독자 ★

안드로이드 보안이나 안드로이드 애플리케이션 감사에 입문하려는 독자를 위한 책이다. 안드로이드 애플리케이션 보안의 가장 기본적인 수준부터 고급 수준까지 다루기 때문에 안드로이드 개발자가 아니어도 괜찮다. 만약 독자가 개발자라면 이 책에서 배운 기술을 이용해 안드로이드 애플리케이션의 취약점을 피하고 보안 코드 작성법을 배울 수 있다.

★ 이 책의 구성 ★

1장, ‘안드로이드 보안 시작’에서는 기본적인 안드로이드 보안 구조에 대해 설명한다. 권한 모델과 애플리케이션의 권한이 적용되는 방법을 다룬다. 또한, 달빅(Dalvik) 가상 환경과 애플리케이션 APK 기본 사항에 대해서도 알아본다.

2장, ‘침투 환경 구성’에서는 안드로이드 침투 테스팅을 위한 환경 구축 과정을 자세히 제공한다. 안드로이드 디버그 브리지와 안드로이드 침투 테스팅에 필요한 중요 툴을 다룬다.

3장, ‘리버싱과 안드로이드 앱 감사’에서는 안드로이드 애플리케이션을 리버싱하는 데에 사용되는 방법과 기술을 다룬다. 안드로이드 애플리케이션 감사를 위해 침투 테스터들에게 도움이 되는 툴을 설명하고 안드로이드 애플리케이션에 존재하는 다양한 종류의 취약점(사용자의 데이터를 위험하게 만드는 것들)을 알아본다.

4장, ‘안드로이드 기기의 트래픽 분석’에서는 안드로이드 기기 애플리케이션의 트래픽 차단을 다룬다. 트래픽을 가로채는 능동적/수동적인 방법과 HTTP/HTTPS 네트워크 트래픽도 알아본다. 안드로이드 플랫폼에서 애플리케이션 감사를 위한 유용한 과정 중 하나인 트래픽 캡처와 서비스 분석 방법도 살펴본다.

5장, ‘안드로이드 포렌식’에서는 안드로이드 포렌식에 대한 기본적인 설명을 시작으로 안드로이드 기반 스마트폰에서 데이터 추출에 대한 다양한 기술을 제공한다. 논리적/물리적인 포렌식 데이터 수집과 데이터 추출 과정을 쉽게 하는 툴도 다룬다.

6장, ‘SQLite 사용’에서는 데이터를 저장하기 위해 안드로이드가 사용하는 SQLite 데이터 베이스에 대해 깊이 있는 지식을 얻을 수 있다. 종종 개발자의 실수로 인해 SQLite 쿼리가 처리되지 않은 입력 값을 받아들이거나 적절한 권한 없이 사용될 경우 인젝션 공격에 이르게 한다.

7장, ‘알려지지 않은 안드로이드 공격’에서는 안드로이드 침투 테스팅에 도움이 되는 알려지지 않은 다양한 기술을 알아본다. 웹뷰(WebView) 취약점과 익스플로테이션(exploitation), 정상적인 애플리케이션의 감염, 크로스 애플리케이션 스크립팅과 같은 주제를 포함한다.

8장, ‘ARM 익스플로테이션’에서는 요즘 대부분의 스마트폰에서 사용 중인 ARM 플랫폼에 대한 익스플로테이션 지식을 소개한다. ARM 어셈블리와 버퍼 오버플로우, Ret2Libc, ROP에 대해서도 배운다.

9장, ‘침투 테스트 보고서 작성’에서는 안드로이드 애플리케이션 감사를 위한 보고서 작성 방법에 대해 간단히 설명한다. 침투 테스팅 보고서의 다양한 요소들을 하나씩 설명하며 직접 침투 테스팅 보고서를 작성할 수 있게 돕는다.

추천사

모바일폰은 현대를 살아가는 우리에게 없어서는 안 되는 것으로 대다수의 사람이 일상생활을 모바일폰에 완전히 의존하고 있다. 대부분의 모바일폰은 안드로이드 OS에서 실행되는데, 이는 안드로이드 OS에서 배포되는 수많은 애플리케이션과 개발자 커뮤니티의 증가 덕분이다. 모바일 기기에서만 안드로이드를 사용한다는 생각은 착각이다. 안드로이드 운영체제는 자동차, 카메라, 냉장고, 텔레비전, 게임기, 스마트 워치, 스마트 유리 등 많은 기기에서 일반적으로 사용된다.

이런 무분별한 사용은 위험에서 자유로울 수 없으므로 주요 관심사는 보안이다. 안드로이드 운영체제를 기반으로 하는 애플리케이션이 안전하다고 말할 수 없다. 일반 사용자가 자신이 사용하는 애플리케이션이 악성 프로그램이 아닌지 어떻게 알 수 있겠는가? 또 해커들이 악용할 수 있도록 개발됐는지 알 수 있겠는가? 이것은 해결해야 할 중요한 문제다.

정보보안의 관점에서 99.9%의 안전은 100%의 취약함을 의미한다. 지식은 힘이다. 우리는 보안 연구자 및 개발자로서 최신 공격 방식과 동향을 파악하기 위해 지속적으로 학습하고 연구해야 하며, 이 분야의 미래를 가능한 한 많이 예측해야 한다. 이는 귀중한 리소스와 자료를 더 효율적으로 만들어 내야 하는 끝없는 과정이다. 2011년에 클럽핵(ClubHack) 컨퍼런스에서 이 책의 저자인 아디트야를 처음 만났고, 그곳에서 우리 둘 다 모바일 보안에 관한 발표를 했다. 나는 그가 모바일 보안 분야에서, 실직적으로는 모바일 애플리케이션 평가 분야의 자산임을 얼마 지나지 않아 깨달았다.

이 책은 안드로이드의 기본 정보, 보안 모델, 아키텍처, 권한 모델 및 OS 동작 방식 등 모바일 보안 분야를 입문하는 보안 연구자와 개발자들이 반드시 알아야 할 중요한 정보를 쉽게 읽을 수 있게 집필했다고 생각한다. 이 책에서 언급된 툴은 모바일 보안 커뮤니티와 모바일 보안 연구 업계에서 사용하는 것들이다. 개인적으로 내가 가장 좋아하는 장은 안드로이드 포렌식이 기술된 부분이며 다음과 같다.

● 5장, '안드로이드 포렌식'에서 안드로이드 파일시스템에 대해 깊게 살펴보고, 어떻게 파일시스템에서 데이터를 추출하는지 배운다.
● 7장, '알려지지 않는 안드로이드 공격'에서 감염 경로와 웹뷰 컴포넌트에 대해 다룬다.
● 8장, 'RM 익스플로테이션'에서 안드로이드 플랫폼의 ARM 기반 익스플로테이션에 대해 상세히 다룬다.

연구 및 교육 학습 과정을 즐기길 바랍니다!
- 엘라드 샤피라(Elad Shapira) / 모바일 보안 연구원

목차

1장 안드로이드 보안 시작
__안드로이드 개론
__안드로이드 자세히 알아보기
__샌드박스와 권한 모델
__애플리케이션 서명
__안드로이드 시작 프로세스
__요약

2장 침투 환경 구성
__개발 환경 구성
____안드로이드 가상 기기 만들기
__안드로이드 침투 테스팅에 유용한 유틸리티
____안드로이드 디버그 브리지
____Burp Suite
____APKTool
__요약

3장 리버싱과 안드로이드 앱 감사
__안드로이드 애플리케이션의 APK 구성 요소
__안드로이드 애플리케이션 리버싱
__Apktool을 이용한 안드로이드 애플리케이션 리버싱
__안드로이드 애플리케이션 감사
__콘텐츠 제공자 유출
__취약한 파일 저장 장치
____경로 탐색 취약점 또는 로컬 파일 포함
____클라이언트 측의 인젝션 공격
__모바일 OWASP 탑 10 취약점
__요약

4장 안드로이드 기기의 트래픽 분석
__안드로이드 트래픽 가로채기
__안드로이드 트래픽을 분석하는 방법
____수동 분석
____능동 분석
__HTTPS 프록시 가로채기
____SSL 트래픽을 가로채는 또 다른 방법
__패킷 캡처로 민감한 파일 추출
__요약

5장 안드로이드 포렌식
__포렌식의 종류
__파일시스템
____안드로이드 파일시스템 파티션
__데이터 추출을 위한 dd 툴 사용하기
____사용자 정의 복구 이미지 사용하기
__Andriller를 이용한 애플리케이션의 데이터 추출
__AFLogical을 이용한 연락처와 통화 내역, 문자 메시지 추출
__수동으로 애플리케이션 데이터베이스를 덤프하기
__Logcat 로깅
__Backup을 이용한 애플리케이션의 데이터 추출
__요약

6장 SQLite 사용
__SQLite 자세히 알기
____SQLite를 이용한 간단한 애플리케이션 분석
__보안 취약점
__요약

7장 알려지지 않은 안드로이드 공격
__안드로이드 웹뷰 취약점
____애플리케이션에서 웹뷰 사용
____취약점 식별
__합법적인 APK 감염시키기
__광고 라이브러리 취약점
__안드로이드 크로스 애플리케이션 스크립팅
__요약

8장 ARM 익스플로테이션
__ARM 구조 소개
____실행 모드
__환경 설정
__스택 기반의 버퍼 오버플로우
__리턴 지향 프로그래밍
__안드로이드 루팅 익스플로잇
__요약

9장 침투 테스트 보고서 작성
__침투 테스팅 보고서의 기본 사항
__침투 테스팅 보고서 작성
____내용 요약
____취약점
____작업 범위
____사용된 툴
____테스팅 방법론
____해결 방안
____결론
____부록
__요약

본문중에서

안드로이드는 전체 스마트폰 시장의 절반 이상을 차지하며 오늘날 가장 인기 있는 스마트폰 운영체제 중 하나다. 넓은 소비자 층과 개발자 커뮤니티의 절대적인 지지로 공식 플레이 스토어에만 백만 개 이상의 애플리케이션이 존재한다. 2005년 공식 출시된 후 지난 몇 년간 많은 인기를 얻었다. 요즘 안드로이드는 스마트폰뿐 아니라 전차책 리더와 텔레비전, 임베디드 기기 같은 다양한 장치에서도 찾을 수 있다. 하지만 안드로이드 기반의 기기를 사용하는 사용자들이 늘어남에 따라 보안에 대한 의문도 많이 제기되고 있는 것도 사실이다. 대부분의 경우 컴퓨터보다 스마트폰에서 더 많은 연락처와 기밀 기업문서, 사진 같은 민감한 정보가 사용되고 있기 때문이다. 안드로이드 플랫폼 자체의 보안 문제 외에도 스마트폰의 안드로이드 애플리케이션에는 개인 정보의 침해로 이어질 수 있는 많은 취약점이 존재한다. 이 책은 이러한 보안 결함에 대한 이해와 더불어 어떻게 이 취약점을 발견하고 해결할 것인가에 대한 설명을 제공한다.
(/ '지은이의 말' 중에서)

대부분의 안드로이드 기는 보안에 취약해 해킹 위험에 노출되어 있으며 이는 약 10억대로 추산된다고 한다. 스마트폰 시대로 들어서면서 안드로이드 앱을 악용한 해킹 사례는 지속적으로 늘어날 전망으로 이를 보호하기 위해서 안드로이드 애플리케이션 개발자 및 정보보안 담당자들은 미리 취약점을 발견해 분석하고 대응해야 한다. 이 책은 안드로이드 보안 구조와 환경 세팅, 침투 테스팅을 수행하기 위한 다양한 툴의 실습과 방법을 자세히 설명하고 있어 안드로이드 침투 테스팅을 처음 시작하는 사람들에게 적합하다. 침투테스터의 관점에서의 다양한 안드로이드 공격 요소를 실습하고 침투 보고서 작성법까지 다루므로 안드로이드 보안 입문자에게 이 책을 추천한다.
(/ '옮긴이의 말' 중에서)

저자소개

아디트야 굽타(Aditya Gupta) [저] 신작알림 SMS신청 작가DB보기
생년월일 -
출생지 -
출간도서 0종
판매수 0권

모바일 보안 회사인 Attify의 설립자이자 트레이너로 대표적인 모바일 보안 전문가다. 익스플로테이션을 위한 안드로이드 프레임워크의 공동 제작자 겸 수석 개발자로, 안드로이드, iOS, 블랙베리와 BYOD 엔터프라이즈 보안을 비롯한 모바일 기기 분야에서 심도 있는 연구를 수행하고 있다.
또한 구글, 페이스북, 페이팔, 애플, 마이크로 소프트, 어도비, 스카이프 등과 같은 많은 웹사이트에서 심각한 웹 애플리케이션 보안 결함을 발견했다. 이전 직장인 Rediff.com에서 웹 애플리케이션 보안과 보안 자동화를 리드하는 역할을 담당했고, 기관의 이슈를 처리하기 위해 여

펼쳐보기
생년월일 -
출생지 -
출간도서 0종
판매수 0권

정보보안회사에서 약 3년간 해외 고객을 대상으로 통합보안관리 시스템(ESM)의 기술지원을 담당했고 현재는 게임회사에서 테크니컬 라이터로 영문 기술문서 작성과 모바일 QA를 담당하고 있다. 에이콘출판사에서 펴낸 [Cuckoo 샌드박스를 활용한 악성코드 분석](2014)을 번역했다.

이 상품의 시리즈

acorn+PACKT 시리즈(총 351권 / 현재구매 가능도서 322권)

펼쳐보기

이 책과 내용이 비슷한 책 ? 내용 유사도란? 이 도서가 가진 내용을 분석하여 기준 도서와 얼마나 많이 유사한 콘텐츠를 많이 가지고 있는가에 대한 비율입니다.

    리뷰

    10.0 (총 0건)

    기대평

    작성시 유의사항

    평점
    0/200자
    등록하기

    기대평

    0.0

    교환/환불

    교환/환불 방법

    ‘마이페이지 > 취소/반품/교환/환불’ 에서 신청함, 1:1 문의 게시판 또는 고객센터(1577-2555) 이용 가능

    교환/환불 가능 기간

    고객변심은 출고완료 다음날부터 14일 까지만 교환/환불이 가능함

    교환/환불 비용

    고객변심 또는 구매착오의 경우에만 2,500원 택배비를 고객님이 부담함

    교환/환불 불가사유

    반품접수 없이 반송하거나, 우편으로 보낼 경우 상품 확인이 어려워 환불이 불가할 수 있음
    배송된 상품의 분실, 상품포장이 훼손된 경우, 비닐랩핑된 상품의 비닐 개봉시 교환/반품이 불가능함

    소비자 피해보상

    소비자 피해보상의 분쟁처리 등에 관한 사항은 소비자분쟁해결기준(공정거래위원회 고시)에 따라 비해 보상 받을 수 있음
    교환/반품/보증조건 및 품질보증 기준은 소비자기본법에 따른 소비자 분쟁 해결 기준에 따라 피해를 보상 받을 수 있음

    기타

    도매상 및 제작사 사정에 따라 품절/절판 등의 사유로 주문이 취소될 수 있음(이 경우 인터파크도서에서 고객님께 별도로 연락하여 고지함)

    배송안내

    • 인터파크 도서 상품은 택배로 배송되며, 출고완료 1~2일내 상품을 받아 보실 수 있습니다

    • 출고가능 시간이 서로 다른 상품을 함께 주문할 경우 출고가능 시간이 가장 긴 상품을 기준으로 배송됩니다.

    • 군부대, 교도소 등 특정기관은 우체국 택배만 배송가능하여, 인터파크 외 타업체 배송상품인 경우 발송되지 않을 수 있습니다.

    • 배송비

    도서(중고도서 포함) 구매

    2,000원 (1만원이상 구매 시 무료배송)

    음반/DVD/잡지/만화 구매

    2,000원 (2만원이상 구매 시 무료배송)

    도서와 음반/DVD/잡지/만화/
    중고직배송상품을 함께 구매

    2,000원 (1만원이상 구매 시 무료배송)

    업체직접배송상품 구매

    업체별 상이한 배송비 적용