안드로이드 모바일 취약점 진단 환경 구축 (인시큐어뱅크)

개요

취약점 진단 채용공고를 보면 웹, 인프라는 기본이고 경력으로 이직시에는 모바일 앱진단이 필수인듯하다.

그렇기 때문에 안드로이드부터 시작해서 IOS까지 공부하는 과정을 작성해 보고자한다.

 

공부과정은 아래 나와있는 이 책으로 진행을 할 예정이다. (책을 제공해준 김pro님께 감사드립니다.)

해당 책에서는 인시큐어뱅크를 통한 안드로이드 앱진단 과정을 담고 있다.

뿐만 아니라 모바일 진단 공부시 해당 앱을 통해서 많이 시작한다고 한다.

https://www.yes24.com/Product/Goods/35119098

안드로이드 모바일 앱 모의해킹 - 예스24

 

구축

파이썬 2.7.X 설치

인시큐어뱅크 앱이 실행될려면, 인시큐어뱅크 서버를 실행시켜야 하는데, 이때 python 2 버전에서만 지원한다.

하기 경로에 접속하면 2.7.x 대역이 나오니 설치하면 될 것 같다.

https://www.python.org/downloads/

Download Python

파이썬 설치이후 환경변수 설정이 필수다.

(Script의 경로는 pip가 있기 때문에 추가해주었으며, pip를 통해서 아래 인시큐어뱅크 서버에 필요한 라이브러리를 다운받을 수 있다.)

 

인시큐어뱅크 서버 실행 및 라이브러리 설치

https://github.com/dineshshetty/Android-InsecureBankv2

GitHub - dineshshetty/Android-InsecureBankv2: Vulnerable Android application for developers and security enthusiasts to learn ab

 

해당 경로에 접속하여 인시큐어뱅크를 다운로드 받게 되면 여러 파일들과 폴더를 볼 수 있는데, 그중 인시큐어뱅크 백엔드 서버는 "AnsdroLabServer" 폴더에 위치하고 있으며, 서버를 구동하기 위해서는 몇 가지 라이브러리가 필요로하는데 requirements에 나와 있는 라이브러리를 설치해 주면 된다.

(경로: 설치경로\Android-InsecureBankv2-master\AndroLabServer)

 

(명령어 : pip install -r requirements.txt)

이렇게 설치를 다해주고난 다음 app.py를 실행시켜 주면 8888포트와 함께 서버가 실행되는 것을 볼 수 있다.

 

인시큐어뱅크 실행(NOX)

인시큐어뱅크 서버를 구동시켜줬기 때문에, 이제는 인시큐어뱅크를 실행해 볼 차례이다.

인시큐어뱅크 앱을 실행시키기 위해 NOX라는 앱플레이어를 사용할 것이다.

(NOX 설치경로 : https://kr.bignox.com/)

Noxplayer – Fastest and Smoothest Android Emulator for PC & Mac – Free and Safe

녹스 앱플레이어를 실행시키고, 설치한 인시큐어뱅크 앱파일(InsecureBankv2.apk)을 드래그 앤 드랍으로 옮겨주면 아래와 같이 앱이 올라온 것을 볼 수 있다.

실행시켜보면 앱이 실행된 것을 볼 수 있는데 이때 우리는 한가지 더 설정해줘야 할 것이 있다.

서버와 연동 시켜줘야 하는데, 이때 로컬PC의 IP와 포트(8888)을 설정해 주면 된다.

이제 준비가 끝났고 진단을 공부해보면 된다. 추가로 설치해야될 것들이 있지만, 해당사항은 추가 포스팅 또는 참조 경로에 추가할 수 있도록 하겠습니다.

 

---

https://takudaddy.tistory.com/539

3. 안드로이드 앱 진단 실습 (1) 진단 환경 구성 : 인시큐어뱅크