반응형
공부한 걸 기록하는 목적으로 포스팅한 글이니,
오픈소스인 인시큐어뱅크 앱으로 따라서 해보는것까지는 문제가 되지 않지만
실제 서비스하고있는 앱을 해킹할 시 책임지지 않습니다. 하지마세요.
KISA에서 제공하는 "모바일 대민서비스 취약점 진단 가이드" 기준 9,12번에 해당하는 보안기능 취약점
하드코드란?
상수나 변수에 들어가는 값을 소스코드에 직접 쓰는 방식(고정된 값)
string a="test";
Android Studio 설치 후 인시큐어 뱅크파일을 불러와서 app > src > main > java > com > android > insecurebankv2에 접근
해당 폴더 우클릭 후 Find in Path 열기
Find in Path에서 인시큐어뱅크 아이디인 jack 검색 시 소스와 주석에 하드코딩된 아이디와 비밀번호 확인 가능
+ 추가로 password, secret key로 검색시에도 중요정보 노출되는 것 확인 가능
[대응방안]
- 중요정보는 하드코딩하지 않아야 합니다. 최대한 서버사이드에서 처리하거나 하드코딩된 정보는 암호화해서 사용하는 것을 권고드립니다.
반응형
'보안 > Android 취약점 진단' 카테고리의 다른 글
| [에러] adb.exe: no devices/emulators found 해결 (0) | 2024.09.19 |
|---|---|
| [DIVA] 모바일 취약점 진단 2. HARDCODING ISSUES - PART 1 (0) | 2024.09.12 |
| [DIVA] 모바일 취약점 진단 1. INSECURE LOGGING (1) | 2024.09.11 |
| [안드로이드 모바일 취약점 진단] apk 파일 디컴파일 해보기 (0) | 2024.05.25 |
| [안드로이드 모바일 취약점 진단] 환경 구축 (0) | 2024.05.23 |
