App hacking24 [모바일 앱 취약점] Diva tutorial 3 - Insecure data storage (Part 1) Diva 취약점 목록 중 Insecure data storage에 대한 풀이이다. 해당 문제를 보면 어디서/어떻게 정보가 취약하게 저장되는지와 취약하게 만드는 코드를 찾아야한다. 3rd party service 이름과 비밀번호를 입력하라고 하는데, 3rd party service는 제 3자 서비스로 정보를 저장한 후 로그인을 대행해주는 서비스이다. 정보를 입력하고 정상 저장을 확인한 후 어떻게 저장되는지 확인하기 위해 소스코드를 살펴본다. 해당 부분에 SharedPreferences의 함수를 사용하는 것을 알 수 있다. 소스코드 내에 따로 암호화 절차가 없어 평문으로 저장되는 것을 알 수 있다. SharedPreferences 간단한 설정 값이나 문자열 같은 데이터를 저장하기 위해 안드로이드에서 기본적으.. 2022. 3. 19. [모바일 앱 취약점] Diva tutorial 2 - Hardcoding Issues DIVA 취약점 목록 중 2 - Hardcoding Issues 의 풀이이다. 클릭해서 들어갈 시 목표에 하드코딩되어 있는 데이터가 어디있는지 찾으라는 목표가 보인다. 이를 위해 하드코딩이라는 개념의 정의를 살펴보자. 하드코딩이란 데이터를 코드 내부에 직접 입력하는 것이다. 기술적으로는 데이터가 실행 바이너리(exe 파일 등)에 합쳐져 있는 상태를 말한다. 프로그램의 소스코드에 데이터를 직접 입력해서 저장한 경우 모든 '상수'는 하드코딩이다. 즉 1에서 봤던 jadx 프로그램을 통해 데이터를 알아내면 된다. 해당 프로그램을 확인해보면, 보란듯이 제목인 HardcodeActivity 파일이 존재했고 Key값으로 보이는 값을 찾을 수 있었다. 대입해보면, 문제가 풀리는 것을 알 수 있다. 2022. 3. 18. [모바일 앱 취약점] Diva tutorial 1 - Insecure logging DIVA 앱을 설치한 후 취약점 목록 중, 1 - Insecure logging을 선택한다. 목표를 보면 어디서 어떻게 로그되는지와 취약한 관련 코드를 찾는 것이다. 입력 창에 123456을 입력한 후 클릭버튼을 누르면 "An error occured. Please try again later"라는 알림 창이 뜬다. 안전하지 않은 로깅은 민감한 정보가 평문으로 로그파일에 남는다는 것으로 연결된 adb를 이용해 로그정보를 실시간으로 살펴보면 된다. adb logcat으로 찾을 시 많은 정보가 분별하기 어렵게 뜨기때문에 필터링 값을 같이 입렷하여 Diva-log만을 출력하게 하였다. adb는 이전 글에서 설정방법을 참고하길 바란다. adb logcat -s diva-log 해당 카드 번호 123456이 평문.. 2022. 3. 18. [모바일 앱 취약점] Diva 환경 세팅 - LG G4 루팅 필요 프로그램 엘지) Lgup 프로그램 가이드 따르기https://m.blog.naver.com/dentzzang/221210626636 SKT LG G4 (F500S) 루팅 작년까지 사용하던 SKT LG G4 스마트폰을 차량용 티맵 네비로 변환시키기로 하였다. 차량 시동시 화... blog.naver.com 삼성) 오딘 프로그램 https://www.osamsung.com/kr/ 해당 기기의 twrp 파일 https://twrp.me/Devices/ 처음엔 원클릭 루팅앱을 7개정도 깔았는데 다 안먹길래 삼성 오딘 프로그램을 다들 사용하길래 이것도 무턱대고 따라했다. 하지만 G4에 맞는 가이드가 따로 있었고 Lg 기기는 LgUp 이라는 프로그램을 따로 사용해야했다. 기기 버전과 루팅을 함께 검색하는게 답.. 2022. 3. 17. [모바일 앱 취약점] Diva 설치 과정 - 안드로이드 패킷 잡기 글에 앞서 Diva를 설치하기 전 루팅이 필요하다.(내 경우, 루팅 후 앱이 다 날라갔기 때문) 루팅이 필요하기 때문에 블로그 안내에 따라 기기 탈옥을 시켜준다.(삼성) Lg는 작성한 글을 참고한다:) 2022.03.17 - [분류 전체보기] - [모바일 앱 취약점]LG G4 루팅(안드로이드 루팅) [모바일 앱 취약점]LG G4 루팅(안드로이드 루팅) 필요 프로그램 엘지) Lgup 프로그램 가이드 따르기https://m.blog.naver.com/dentzzang/221210626636 SKT LG G4 (F500S) 루팅 작년까지 사용하던 SKT LG G4 스마트폰을 차량용 티맵 네비로 변환시키기로 하였다... myungjjju.tistory.com 일단, Diva는 깃허브에서 내려받을 수 있다. 디버.. 2022. 3. 8. [안드로이드] 앱 개발 환경설정 #0 코틀린은? 코들린은 오픈소스로 2012년에 출시 2017년 구글이 안드로이드 앱 개발용으로 추천 하고 급 부상하였다. 코틀린은 자바와 100%로 호환이 가능하다. 원리) Complication은 C프로그램을 기계어로 컴파일 하는 것이고 Interpretation은 리얼타임으로 기계어 전달 Complication은 inter-보다 빠르지만 플랫폼(운영체제)에 의존적이고 Interpretation는 플랫폼 독립적 = 자동 변환 Java vitual machine은 이것의 호환으로 두 언어모두 Java Byte Code로 컴파일되어(Com-) JVM(Java vitual machine)가 각 플랫폼에 번역(inter-) 전달한다. 장점) Null Safety / Coroutine 활용) Java 어플리케.. 2022. 2. 28. 이전 1 2 3 다음
