1.계획서


2014년도 캡스톤 디자인 1 종합설계 프로젝트 요약 계획서

팀명

오미자

제출일

2014  3    13 

지도교수

윤명근 교수님

프로젝트제목

분석을 통한 어플리케이션 취약점 분석 자동화 툴

팀원

성명

학번

e-mail 주소

SNS ID

이수민

20113308

minka1010@gmail.com

https://www.facebook.com/leeminka

장지원

20113319

jeewon0838@gmail.com

https://www.facebook.com/jang9999

정준식

20073249

jjs5919@nate.com

https://www.facebook.com/KrJunsik

장석상

20083267

ssjang8805@naver.com

https://www.facebook.com/ssj0501

홍완기

20073264

ghpxhn@nate.com

https://www.facebook.com/wanki.hong.98

설계

프로젝트

개요

목표:

분석을 통해, 취약점 점검을 할 대상을 탐색하고, 그것을 통해 취약점 점검을 하여 사용자에게결과를 리포팅해주는 자동화 시스템을 개발한다.

 

개발 내용:

1.     어플리케이션이 접근하는 DB에 안전하게 접근/통신하는지 검사

2.     어플리케이션이 접근하는 Web Server/ Web Browser 의 보안성 검사

3.     Activity Stack/ Intent Stack분석

4.     시스템 내에 Log로 정보 유출 여부 검사

5.     네트워크 패킷 암호화 유무 점검

 

결과물 내역:

사용자가 이용할 어플리케이션

어플리케이션을 분석해줄 자동화툴이 설치된 서버

 

현실적 제한요소:

1.     여러 툴이 자동적으로, 순차적으로 apk파일을 분석해야 한다는 점

2.     분석 할 때 동적/정적 분석을 적절히 사용 해야 한다는 점

3.     결과물을 이해하기 쉽게 정제해서 보여줘야 한다는 점

 

관련 현황 및 배경:

OWASP에서 어플리케이션의 취약점 TOP10을 발표할 정도로, 안드로이드 스마트폰 환경에서 어플리케이션의 취약점이 많다.

<안드로이드의 취약점 중 어플리케이션과 os의 비중>

 

 <OWASP이 발표한 어플리케이션취약점TOP10>


안드로이드 스마트폰에 어플리케이션으로 인한 취약점 노출이 많은 현황이다.

차별화 전략:

어플리케이션에 대해, 그 어플리케이션이 악성 어플리케이션인지 아닌지 판단해 주는 어플리케이션은 많이 있다. 하지만, 취약한 부분, 예를 들어 DB에 평문 저장을 한다, 혹은 죽지 않는 activity가 있다, 라는 취약한 부분에 대한 분석 도구가 존재하지 않다. 또한, 일반적으로 동적분석/정적분석을 제공하는 곳은, 사용자가 apk파일을 직접 업로드하여 일괄적으로 나오는 output만을 보여준다. 하지만 우리 서비스는 이런쪽 지식이 전무한 평범한 사용자들도 사용하기 편리하게 자동 분석 툴을 제공하고, output또한 이해하기 쉽게 가이드라인을 제공할 예정이다.

 

기대효과:

의도치 않게, 개인 개발자가 만든 어플리케이션이 취약점이 많아 위험에 노출되는 경우가 많다. 따라서 개발자의 경우라면 본인이 만든 어플리케이션에 취약점이 있나 확인하여 수정 후 출시 할 수 있고, 사용자라면 해당 어플의 취약점이 얼마나 있나 확인 후 사용여부를 판단 할 수 있다.

 

<시작발표>

YouTube 동영상

참고: 학기 전에 지도교수에게 과제를 제안하고 선정하는 과정을 이미 거친 것으로 간주하여 프로젝트 계획서는 이미 결정된 과제의 구체적 수행 계획을 서술합니다. 즉 과제를 제안하는 제안서와는 성격이 다릅니다.

첨부화일 (아래 안내는 첨부 후에 삭제할 것)

Ċ
3조 캡스톤,
2014. 3. 12. 오후 10:44
ć
3조 캡스톤,
2014. 3. 12. 오후 10:45
ĉ
3조 캡스톤,
2014. 4. 2. 오전 11:46
ĉ
3조 캡스톤,
2014. 4. 2. 오전 11:46