MobSF 및 AWS를 사용하여 클라우드에서 Android 앱에 대한 보안 정적 분석 테스트 실행

이 문서에서는 Android 앱에 대한 정적 분석 테스트를 쉽게 실행할 수 있도록 Docker가 있는 AWS EC2 시스템에서 MobSF 스캔 도구를 설정하는 단계를 안내합니다.

올해 Droidcon Berlin의 일환으로 DevSecOps for Android 보안 테스트를 CI/CD 파이프라인 및 Mobile DevOps에 주입할 수 있는 방법에 대해 이야기했습니다.

프레젠테이션에서 저는 Android에서 사용할 수 있는 다양한 자동 보안 테스트 도구에 대해 언급했습니다. 이러한 도구 중 하나는 MobSF입니다. 이는 Android에서 안전하지 않은 코드 패턴을 찾을 수 있는 오픈 소스 정적 분석 도구이며 iOS 소스 코드는 Java를 지원합니다. , 코틀린, 스위프트, 오브젝티브 C.

live 버전의 도구가 있으며 APK를 업로드하고 스캔할 수 있습니다. 하지만 자신의 서버나 시스템에 자신의 버전을 설치해야 하는 경우에는 어떻게 해야 할까요?

그렇기 때문에 이 기사에서는 AWS EC2 시스템에서 MobSF Docker 컨테이너를 실행하고 API을 사용하여 Android APK를 서버에 업로드하여 스캔 프로세스를 시작하는 방법을 시연합니다.

재미있을 것 같나요? 시작하자.

전제 조건
이 데모에는 다음 전제 조건이 필요합니다.
  • [무료 AWS 계정( https://portal.aws.amazon.com/billing/signup )
  • A free GitHub account
  • Android 애플리케이션인 경우 Android 앱이 없는 경우 GitHub에서 Insecure Shop 앱을 포크하여 데모로 사용할 수 있습니다.

  • 이제 솔루션을 구축해 보겠습니다.

    1- AWS management console에 로그인하고 EC2 서비스를 선택합니다.



    2- 인스턴스를 클릭하여 새 Amazon Linux 인스턴스를 시작하고 프리 티어 범주 아래에 있는지 확인합니다.



    3- 그런 다음 인스턴스 유형, 키 쌍 및 보안 그룹을 선택하고 HTTP 또는 HTTPS가 SSH 옆의 브라우저에서 시스템에 액세스할 수 있도록 허용하는지 확인하십시오.


    4- 인스턴스 시작을 클릭하고 액세스할 준비가 될 때까지 기다립니다.





    5- 퍼블릭 IP가 있는 머신이 있고 원하는 경우 도메인 이름을 할당할 수도 있습니다.

    6- 이제 VM이 준비되었으며 연결 버튼을 클릭하여 액세스할 수 있습니다. 여러 클라이언트 중에서 선택할 수 있지만 이 데모에서는 기본 클라이언트인 EC2 Instance Connect를 사용하고 있습니다.



    7- 우리는 이제 머신 내부에 있으며 셸을 사용하여 예를 들어 다음과 같은 명령을 실행할 수 있습니다. sudo yum update 업데이트를 설치합니다.

    8- 이제 다음 명령으로 MobSF Docker 컨테이너를 다운로드하고 실행할 수 있도록 Docker를 설치해야 합니다.
    sudo yum install docker
    9- sudo 명령을 사용하지 않고 모든 Docker 명령을 실행할 수 있도록 기본 ec2-user에 대한 그룹 구성원을 추가합니다.

    sudo usermod -a -G docker ec2-user
    
    id ec2-user
    
    newgrp docker
    


    10- AMI 부팅 시 Docker 서비스 활성화:
    sudo systemctl start docker.service11- AMI 인스턴스에서 Docker 서비스 상태를 가져오고 다음을 실행합니다.
    sudo systemctl status docker.service
    12- Docker 버전을 참조하십시오.
    docker version



    13- MobSF 설명서에서 다음 명령을 사용하여 미리 빌드된 Docker 이미지를 설치하는 방법을 찾을 수 있습니다.

    docker pull opensecurity/mobile-security-framework-mobsf
    
    docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
    


    이제 Docker는 이미지를 가져오고 컨테이너를 빌드하기 시작하며 포트 8000에 연결됩니다.

    따라서 인바운드 규칙을 편집하여 액세스할 수 있도록 이 포트를 추가하려면 이 인스턴스에 대한 보안 그룹을 업데이트해야 합니다.



    14- 이제 브라우저를 통해 VM에 액세스할 수 있으며 결과는 다음 이미지와 같아야 합니다.



    축하합니다. 컴퓨터에 MobSF 도구를 성공적으로 설치했습니다.

    이제 APK를 스캔하려는 경우 수동으로 APK를 업로드하거나 Bitrise과 같은 모바일 CI/CD 플랫폼에서 MobSF API를 사용하여 애플리케이션을 빌드한 후 APK를 업로드한 다음 APK를 호스팅하는 MobSF 서버로 보낼 수 있습니다. AWS 기계.

    행복한 테스트!

    좋은 웹페이지 즐겨찾기