Mobile/Android 검색 결과
3 개의 검색 결과가 있습니다.
Mobile/Android

[Insecurebankv2] 하드코딩 취약점

취약점 개요 - 하드코딩이란? 어떤 데이터가 코드 내에 그대로 입력된 것 - 입력받아야 할 정보를 소스코드 내에 바로 입력하거나 중요 정보를 주석 처리하는 것 또한 하드코딩 - 중요 정보가 소스코드에 노출되어 있다면 소스코드 노출 시 중요 정보가 그대로 제3자에게 노출 진단방법 소스코드 분석 (암호화 클래스 부분을 상세하게 분석) 중요 정보를 소스코드 내에서 문자열 검색을 통해 검토 및 조치 (아이디, 패스워드 등 중요 정보를 문자열 검색) 진단과정 소스코드 분석 - Insecurebankv2 앱의 전반적인 소스코드를 분석 (암호화를 담당하는 CryptoClass를 위주로) - 소스코드 분석결과 암호화 키가 소스코드에 그대로 노출된 것을 확인 문자열 검색 - 안드로이드 스튜디오 내의 문자열 검색 기능을 ..

2020. 12. 25. 05:52
Mobile/Android

[Insecurebankv2] 개발 백도어 취약점

취약점 개요 - 개발 백도어란? 개발 단계 시 개발자가 편의를 위해 자신만이 들어갈 수 있는 계정이나 인증 우회 방법 - 개발 단계 시 사용하던 개발 백도어가 잘못된 빌드 프로세스로 배포용 어플리케이션 또는 서버에 개발 백도어 코드가 삽입되어 보안에 중대한 영향을 끼치는 취약점 진단방법 클라이언트 부분에서 로그인 부분의 소스코드를 상세 분석 서버 부분에서 로그인 처리 부분의 소스코드를 상세 분석 코드 분석을 바탕으로 백도어 사용 후 검증 진단과정 클라이언트 부분 분석 - Insecurebankv2 앱의 클라이언트 부분에서 로그인을 담당하는 'DoLogin.java'의 소스코드를 분석 - 로그인을 시도하는 부분의 소스코드에서 'devadmin' 이라는 사용자인지 확인하는 조건문을 발견 - 'devadmin..

2020. 12. 20. 18:07
Mobile/Android

[Insecurebankv2] 안드로이드 페이스트보드 취약점

취약점 개요 - 사용자의 중요한 데이터(암호, 계좌번호 등)가 메모리(클립보드)에 노출되어 있는 취약점 - 클립보드에 저장된 데이터를 별도의 권한 없이 허가되지 않은 사용자에게 노출되어 있는 취약점 진단방법 진단 대상 안드로이드 앱에서 중요한 데이터를 복사 adb 명령을 이용하여 클립보드 검사(adb shell su '유저명' service clipboard 2 s16 '패키지경로') 진단과정 - 진단 대상인 Insecurebankv2 앱의 Transfer에서 From Account를 클립보드로 복사 - adb 명령을 사용하기 앞서, 'adb shell ps' 명령을 이용해 Insecurebank 앱을 실행하는 유저명을 확인 - 'adb shell su 유저명 service call clipboard 2..

2020. 12. 19. 22:12