Raining_93

안드로이드 애플리케이션에 대해 취약점 분석 및 모의해킹을 진행 시 Frida는 필수이다.

먼저 Android에 Frida를 설치하고 실행 하기 위해서는 PC에서 후킹 스크립트를 작성해야한다.

따라서 PC와 모바일 둘 다 Frida를 실행 할 수 있는 환경을 만들어주어야 한다.

PC 환경은 이전 포스팅을 보고 환경을 만들어 주자. (클릭)

먼저 진단용 단말기는 루팅이 진행되어야한다.

루팅과 관련된 내용은 따로 정리할지는 모르겠지만 검색만 하면 다른 포스팅이 많이 있다.

참고하자.

루팅된 폰에 다음과 같은 명령어를 입력하고 단말기가 32bit인지 64bit인지 확인한다.

getprop ro.product.cpu.abi

arm64-v8a는 64bit이기 때문에 frida 홈페이지에 가서 다운로드 받고 단말기에 넣어주기만 하면 끝이다.

Frida 공식 홈페이지는 다음과 같다. (클릭)

PC에 설치한 frida 버전과 똑같은 버전을 다운로드 받아 준다.

다운로드 받은 후 단말기에 해당 frida-server 파일을 넣어주고 실행 할 수 있는 퍼미션을 준다.

끝

이번 포스팅 부터는 안드로이드의 Pentesting의 기초에 대해서 배워보자.

앞으로 Android 애플리케이션 분석을 시작하는 방법과

취약한 애플리케이션 DIVA의 다양한 취약점을 다루는 방법에 대해서 배워 볼 것이다.

DIVA는 취약하게 만들어진 Android 애플리케이션을 의미하며

기초와 개념을 익히도록 만들어진 애플리케이션을 의미한다.

앞으로의 포스팅에서 다룰 몇가지 중요한 것을 살펴보자.

1. 애플리케이션 분석 하기 위해 소스 코드를 얻는 방법을 배울 것이다.

2. 1번에서 얻은 소스코드에서 취약점을 찾는 방법을 배울것이다.

3. apk을 decompiling 하는 방법과 apk을 unzipping의 차이점을 배울것이다.

4. kali vm에서 모바일에서 발생되는 트래픽을 분석하는 방법을 배울 것이다.

5. 앞으로 다룰 취약점은 다음과 같다.

     i. Insecure Logging

     ii. Hardcoding Issues

     iii. Insecure Data Storage

     iv. Input Validation Issue

     v. Access Control Issue