로컬 암호화 이슈 (Local Encryption Issue) 인시큐어뱅크에는 몇가지 로컬 암호화 이슈가 존재한다. 로컬 암호화 이슈란 중요정보를 단말기에 저장할 때 취약한 암호화 알고리즘을 사용하거나 평문으로 저장해서 발생하는 이슈를 말한다. 먼저 로그인하는 과정이 필요한데 아래 포스팅에서 녹스 에뮬레이터 설정 및 인시큐어뱅크 서버 구동, 로그인 방법을 참고하길 바란다. [인시큐어뱅크] 녹스 에뮬레이터를 사용한 취약점 진단 환경구축 [인시큐어뱅크] 녹스 에뮬레이터를 사용한 취약점 진단 환경구축 인시큐어뱅크 앱을 사용해 안드로이드 모바일 취약점 진단 공부를 해보기 위해 녹스 에뮬레이터를 사용해 취약점 진단 환경 구축을 해볼 것이다. 다음과 같은 순서대로 차근차근 진행해보자. 인시큐어뱅크(Insecur....
인시큐어뱅크 앱을 사용해 안드로이드 모바일 취약점 진단 공부를 해보기 위해 녹스 에뮬레이터를 사용해 취약점 진단 환경 구축을 해볼 것이다. 다음과 같은 순서대로 차근차근 진행해보자. 인시큐어뱅크(InsecureBankv2) 설치 녹스(Nox) 에뮬레이터 설치 및 설정 녹스 에뮬레이터에 인시큐어뱅크 앱 설치 인시큐어뱅크 서버 구동 인시큐어뱅크 앱 설정 및 실행/로그인 확인 +) 안드로이드 스튜디오에 인시큐어뱅크 프로젝트 열기 인시큐어뱅크(InsecureBankv2) 설치 인시큐어뱅크는 안드로이드 모바일 앱 취약점 진단 공부를 위해 만들어진 앱으로 아래와 같은 취약점이 존재한다. 전부는 아니더라도 앞으로 하나하나 알아보려 한다. Flawed Broadcast Receivers Intent Sniffing a..
adb는 PC에서 안드로이드 쉘을 이용하기 위해 필요한 툴이다. 이 adb를 사용해 실제 단말기(갤럭시S10e)와 PC를 연결해보자. SDK(Software Development Kit) 설치 adb를 사용하기 위해서는 먼저 안드로이드 어플리케이션 개발을 위한 소프트웨어 키트인 SDK가 설치되어 있어야 한다. 난 어차피 나중에 설치해야될 것 같아서 SDK가 포함되어 설치되는 안드로이드 스튜디오를 다운받았다. 안드로이드 스튜디오 다운로드 링크
PE 파일을 IDA와 같은 툴을 사용해 디컴파일하듯, apk 파일도 디컴파일을 할 수 있는 방법이 있는데 그 중 가장 무난히 많이 사용되는 방법이 dex2jar 툴을 사용하는 것이다. 이름 그대로 dex -> jar 로 변경해주는 툴인데 그전에 dex란 뭔지부터 간단히 살펴본다. DEX(Dalvik Excutable)란 윈도우 실행파일이 PE파일인 것처럼, 안드로이드의 실행파일은 dex이다. d가 dalvik인 것에서 알 수 있듯이 안드로이드는 dex 파일을 달빅이라는 가상머신에서 구동시킨다. 달빅 가상머신은 모바일 기기에서 메모리를 적게 사용하면서 실행파일이 구동되도록 하는 최적회된 가상머신이라고 생각하면 된다. 참고로 이 달빅 가상머신은 OS에 하나가 있는 것이 아니라 구동되는 어플리케이션마다 생성이..
SUPER 다운로드 및 설치 SUPER은 오픈소스 기반의 안드로이드 앱 (apk) 취약점 점검 툴이다(사실 분석툴이 더 맞는 것 같다). 윈도우, 리눅스, 맥 환경에서 전부 사용 가능하며 아래 링크에서 다운받을 수 있다. https://superanalyzer.rocks/download.html SUPER Android Analyzer - Download Here you can download SUPER for Windows, Linux and MacOS X. We only provide 64-bit builds. If you need support for 32 bits, you will need to compile SUPER from source. Download for Windows Windows d..