반응형 취약점 진단7 [DIVA] 모바일 취약점 진단 5. Insecure Data Storage - PART 3 [오늘의 학습목표] 1. 입력값이 어디에 저장되는지 2. 취약한 코드형태 확인 [모바일 취약점 진단 실습 5. Insecure Data Storage - PART 3] 5. Insecure Data Storage - PART 3 을 클릭하면 유저네임과 패스워드가 어디에 저장되는 지 확인하는 문제가 나온다. 아무 값이나 입력하면 3rd party credentials saved successfully! 라는 문구가 뜨며, 계정이 저장된 것을 확인할 수 있다. 여기까진 PART 1, 2와 동일하다. JADX를 통해 소스코드를 확인해보자.역시나 Toast 메시지로 검색 해당 Activity 코드 전문이다. 아래와 같이 자격증명을 저장하는 함수에서 tmp파일을 생성해서 해당 파일에 사용자가 입.. 2024. 10. 22. [DIVA] 모바일 취약점 진단 4. Insecure Data Storage - PART 2 [오늘의 학습목표] 1. 입력값이 어디에 저장되는지 2. 취약한 코드형태 확인 [모바일 취약점 진단 실습 4. Insecure Data Storage - PART 2] 4. Insecure Data Storage - PART 2 을 클릭하면 유저네임과 패스워드가 어디에 저장되는 지 확인하는 문제가 나온다. 아무 값이나 입력하면 3rd party credentials saved successfully! 라는 문구가 뜨며, 계정이 저장된 것을 확인할 수 있다. 여기까진 PART 1과 동일하다. JADX 툴로 해당 메시지를 찾아보자. 검색값이 4개 나오는데 딱 봐도 InsecureDataStorage2Activity가 나온다. 더블클릭하면 해당 Activity로 이동이 된다. import로 선언된.. 2024. 10. 21. [DIVA] 모바일 취약점 진단 2. HARDCODING ISSUES - PART 1 [오늘의 학습목표] - 어떤 값이 어디에 하드코딩 되어 있는지 찾기 [모바일 취약점 진단 실습 2. HARDCODING ISSUES - PART 1] 2. HARDCODING ISSUES - PART 1 을 클릭하면 어떤값이 어디에 하드코딩되어있는지 찾아서 입력하는 문제가 나온다. *하드코딩이란? 간단히 말해서, 소스코드에 직접 값을 입력한 것. 아래와 3번째 그림과 같이 아무 값이나 입력하면 Access denied! See you in hell :D 문구와 함께 접근이 거부된 것을 확인 가능하다. jadx로 소스코드를 확인하면 바로 하드코딩된 key값을 확인 가능하다. vendorsecretkey와 입력한 문자열이 같으면 Access granted! , 같지 않으면 Access denied!라는 .. 2024. 9. 12. [DIVA] 모바일 취약점 진단 1. INSECURE LOGGING 구글에 diva android 라고 치면 다운로드 받을 수 있는 github가 바로 나온다.아래 링크를 걸어두겠다.https://github.com/0xArab/diva-apk-file GitHub - 0xArab/diva-apk-file: DIVA (Damn insecure and vulnerable App) is an App intentionally designed to be insecureDIVA (Damn insecure and vulnerable App) is an App intentionally designed to be insecure - 0xArab/diva-apk-filegithub.com 1. INSECURE LOGGING 을 클릭해서 넘어가보면 뭐가 로깅되고 있는지 어디에 로깅되고 .. 2024. 9. 11. [Apktool] 안드로이드 어플리케이션 Tool 개념 및 설치방법 Apktool?안드로이드 애플리케이션 대상의 리버스 엔지니어링 도구APK파일을 분석해서 리소스를 디코딩할 수 있고, 코드를 수정해서 재빌드할 수도 있음 https://apktool.org/ Apktool | ApktoolA tool for reverse engineering Android apk files.apktool.org여기에서 다운로드난 Windows 용을 다운받음. 위 설명대로 하면 됨. 1. wrapper script라고 표시된 초록색 부분을 클릭하면 아래와 같은 페이지가 열림. 마우스 우클릭하고 apktool.bat이라는 이름으로 저장하기. 2. apktool.2.3.3.jar (최신버전)을 다운로드3. apktool.2.3.3.jar -> apktool.jar 로 이름 변경 (버전 지워주기.. 2024. 5. 25. [안드로이드 모바일 취약점 진단] 인시큐어뱅크 앱 진단_하드코드된 중요정보1 공부한 걸 기록하는 목적으로 포스팅한 글이니,오픈소스인 인시큐어뱅크 앱으로 따라서 해보는것까지는 문제가 되지 않지만실제 서비스하고있는 앱을 해킹할 시 책임지지 않습니다. 하지마세요. KISA에서 제공하는 "모바일 대민서비스 취약점 진단 가이드" 기준 9,12번에 해당하는 보안기능 취약점 하드코드란?상수나 변수에 들어가는 값을 소스코드에 직접 쓰는 방식(고정된 값)string a="test"; Android Studio 설치 후 인시큐어 뱅크파일을 불러와서 app > src > main > java > com > android > insecurebankv2에 접근 해당 폴더 우클릭 후 Find in Path 열기 Find in Path에서 인시큐어뱅크 아이디인 jack 검색 시 소스와 주석에 하드.. 2024. 5. 23. 이전 1 2 다음 반응형
