3.2차 중간 보고

                 종합설계 프로젝트 2차 중간보고서 요약

팀명

오미자(五味者)

제출일

2014 5 1

프로젝트 제목

안드로이드 어플리케이션 취약점 분석 자동화 툴

설계프로젝트 개요

프로젝트 수행 내용 및 중간 결과

프로젝트 요약문

1. Insecure Data Storage (안전하지 않은 데이터 저장) 

: 예시를 통하여 DB의 암호화가 절실하다는 상황을 확인 및 DB도출 성공

- 카카오톡 최근 메시지 평문 저장 모습

- 라인  메시지 평문 저장 모습



2. Weak Server Side Controls(취약 서버 측 제어)

  (1) Network Traffic Controller

  (2) Process Controller

  (3) Automatic Module

  (4) Scanner

3. Web Application in Android Application Web Viewer (안드로이드에서 접근하는 웹 어플리케이션 취약점 분석)

  (1) 전처리 과정

  (2) SQL Injection

  (3) Cross Site Scripting

  (4) Remote File Inclusion

  (5) Local File Inclustion

  (6) Command Injection

4. Side Channel Data Leakage (주변 채널에 의한 데이터 누수)


마일스톤 수행 내용

  • M1 :  전처리과정(apk추출 및 전송 / 정적분석을 위한 decompile)
  • M2 : DB 암호화 점검 -> 암호화 하지 않는 문제점과 DB추출 성공 -> 암호화 기준 확립(M3)
                    웹 취약점 점검 -> 점검툴 완성(url,ip등을 넘겨주기 위한 작업- M4)
                    주변채널에 의한 데이터누수 -> 데이터 유출이 가능한 다양한 경로 확인 (M3) 
                                                                                                    -> 점검 방법 및 툴 제작(M4)
                    부적절한 세션처리 -> adb shell을 이용한 activity, intent stack확인 및 결과도출(M3)
      *모듈별로 나눠 진행중이라, M2가 완벽히 끝나진 않았지만 부분적으로 완성된 부분과 진행중인 부분이 혼합되어있는 상황. 
       *매주 회의를 통해 정확히 확인하도록 하여 계획이 유동적으로 관리되더라도 많이 늦어지는 부분은 없도록 관리를 요함*
                    
    

동영상

국민대학교 2014캡스톤디자인 3조 중간2차 발표영상


※ 동영상 안에 있는 글씨가 작으므로 동영상 볼 때 전체화면을 봐주세요.

다음 마일스톤 일정

  • M3 : DB암호화 기준 확립 / 데이터 누수 경로 확인 / activity, intent stack 확인 
  • M4 : 대부분의 과정 툴제작과 자동화 확립
  • M5 : 테스트와 점검을 통해 오류 점검