반응형
[오늘의 학습목표]
- 어떤 값이 어디에 하드코딩 되어 있는지 찾기
[모바일 취약점 진단 실습 2. HARDCODING ISSUES - PART 1]
2. HARDCODING ISSUES - PART 1 을 클릭하면 어떤값이 어디에 하드코딩되어있는지 찾아서 입력하는 문제가 나온다.
*하드코딩이란? 간단히 말해서, 소스코드에 직접 값을 입력한 것.
아래와 3번째 그림과 같이 아무 값이나 입력하면 Access denied! See you in hell :D 문구와 함께 접근이 거부된 것을 확인 가능하다.
jadx로 소스코드를 확인하면 바로 하드코딩된 key값을 확인 가능하다.
vendorsecretkey와 입력한 문자열이 같으면 Access granted! , 같지 않으면 Access denied!라는 문구를 띄운다는 코드.
단순한 구조로 되어있다.
입력값에 바로 소스코드에서 확인한 vendorsecretkey를 입력하면 Access granted! 라는 문구를 확인 가능하다.
[jadx에서 하드코딩된 정보 찾기]
jadx에서 하드코딩된 정보를 [ ctrl+f ]로 열려있는 탭에서 찾을 수 있거나,
화면 상단 메뉴에 있는 툴박스에서 [ 돋보기 모양 ]을 클릭하면 전체 액티비티에서 텍스트를 검색 가능하다.
[오늘의 학습]
중요정보(키 값, 계정정보 등)가 하드코딩되있을 경우 취약!!!!
[참고 강의]
- 인프런 : 안드로이드-앱-모의해킹-진단-완벽-실습
반응형
'보안 > Android 취약점 진단' 카테고리의 다른 글
| [DIVA] 모바일 취약점 진단 3. Insecure Data Storage - PART 1 (0) | 2024.09.19 |
|---|---|
| [에러] adb.exe: no devices/emulators found 해결 (0) | 2024.09.19 |
| [DIVA] 모바일 취약점 진단 1. INSECURE LOGGING (1) | 2024.09.11 |
| [안드로이드 모바일 취약점 진단] apk 파일 디컴파일 해보기 (0) | 2024.05.25 |
| [안드로이드 모바일 취약점 진단] 인시큐어뱅크 앱 진단_하드코드된 중요정보1 (0) | 2024.05.23 |
