안녕하세요! 지난시간에는 '취약한 로깅'  취약점에 대하여 다뤘습니다. 이번시간에는 '하드코딩 이슈' 취약점 에 관한 DIVA 문제를 살펴보며 알아가는 포스팅입니다! 지난 포스팅 [Android DIVA] '취약한 로깅' 취약점안녕하세요! 저번시간에는 모바일 취약점 연습용 어플 Diva 를 다운로드 설치했었습니다! 이번 시간에는 모바일 Diva 취약점중 하나인 '취약한 로깅' 취약점에 대하여 살펴보겠습니다! 저번 포스jamesbexter.tistory.com Hardcoding Issue 란?> 소스코드 내에 중요한 정보를 직접 입력해놓는 보안사고를 말합니다. 예를들어 Admin 페이지로 들어가려면 PIN번호를 작성해야 하는데 인증절차 과정에서  if( user의 입력값 == '591354')  이런식으..

안녕하세요! 저번시간에는 모바일 취약점 연습용 어플 Diva 를 다운로드 설치했었습니다! 이번 시간에는 모바일 Diva 취약점중 하나인 '취약한 로깅' 취약점에 대하여 살펴보겠습니다! 저번 포스팅 [Android DIVA] Android DIVA app 설치하기 (feat.jadx)안녕하세요! 오늘은 앱해킹 기법 공부를 위하여 Anroid 용 Diva 설치를 진행하여 보겠습니다! 실습을 진행하면서 디컴파일러 프로그램인 JADX 는 계속 사용할테니 만약 설치를 안하셨다면 밑에 링jamesbexter.tistory.com '취약한 로깅' 이란? > 모바일 앱 개발을 하면서 변수값이 잘들어가는지 , 어디서 오류가 나는지 확인하기위하여 Log.d 나 Log.e 를 자주 활용하게 됩니다. 하지만 개발 규모가 커지..

안녕하세요! 이번시간은 무료로 사용할 수 있는 디스어셈블러 툴인 GHIDRA 설치방법에 대한 포스팅 입니다. 모바일 DIVA 문제를 살펴보다가 .so 확장자 파일을 열어봐야 했는데 , .so 파일은 바이너리 파일로써 디스어셈블러 툴로 코드를 어셈블리어로 변환하여 코드흐름을 살펴보게 되었습니다. ※리버싱 툴이랑 뭐가 다른가?GHIDRA 또한 리버싱 에서도 쓰이는 툴이긴 한데 OllyDbg나 Frida 같은 툴과 차이점은 GHIDRA같은경우는 정적분석을 하기 위해 만들어 졌다는 것입니다. 즉 프로그램이 실행되는 동안이 아닌 그냥 코드를 살펴보며 흐름을 확인하는 용도라는 것이죠! 1. JAVA 설치GHIDRA를 사용하시려면 우선 자바가 설치되어있어야 합니다. 자바는 JDK 최신버전으로 설치하시면 됩니다!우선 ..

안녕하세요! 오늘은 앱해킹 기법 공부를 위하여 Anroid 용 Diva 설치를 진행하여 보겠습니다! 실습을 진행하면서 디컴파일러 프로그램인 JADX 는 계속 사용할테니 만약 설치를 안하셨다면 밑에 링크로 들어가셔서 설치를 진행하고 오세요!https://github.com/skylot/jadx/releases DIVA app 이란? : 모바일 앱 보안을 공부하며 실습해볼수 있도록 만든 어플을 의미합니다! 총 13가지의 문제로 구성되어있고 각 문제마다의 취약한 부분을 찾는방식이라 앱 해킹 기초를 공부할때 매우좋습니다! 이 앱에서 공부할 수 있는 항목은 크게보면 총 5가지입니다.Diva app의 13가지 문제5가지 분류1 . 취약한 로깅2. 하드코딩 이슈3. 취약한 데이터 저장4. 입력값 검증 이슈5. 접근 ..

안녕하세요! 저번시간에는 Nox&Frida 설치 에 대하여 포스팅 했습니다. 이번시간엔 FridaLab 문제 1~8번까지 풀이를 진행해보려고 합니다! 우선 FridaLab 이란 Frida툴을 연습할수 있도록 만든 APK입니다! FridaLab어플의 소스코드를 분석하여 저희가 원하는 동작을 하도록 유도하는 것이 이번 포스팅의 목표입니다!  ※만약 Nox&Frida 설치가 안되셨다면 밑에 링크를 통하여 설치를 진행하고 오셔야 합니다! Nox&Frida 설치방법 모바일 애플리케이션 및 기타 프로그램에서 사용되는 동적" data-og-host="jamesbexter.tistory.com" data-og-source-url="https://jamesbexter.tistory.com/entry/Mobile-Hack..

안녕하세요!  오늘은 모바일 앱해킹을 하다가 문득 객체와 인스턴스의 차이점이 궁금해져서 찾아본 내용을 정리해서 전달해 드릴까 합니다! 그 내용은 바로 클래스(Class) , 객체(Object) , 인스턴스(instance)에 대한 이야기입니다. 클래스와 객체의 관계는 알겠는데 객체와 인스턴스의 관계는 뭔가 애매모호한 느낌이 있어서 그걸 확실히 정리하고자 작성하였습니다! 괜히 설명이 길어지면 헷갈리실 테니 최대한 짧고 간결하게 작성하겠습니다!-클래스(Class)개념 : 객체를 만들어 내기 위한 설계도, Class 안에는 필요한 속성(변수)&메서드(함수)들이 들어있습니다. 비유 : 붕어빵 만들기 레시피입니다. "붕어빵을 만드는 방법으론 붕어빵 틀에다가 넣어줄 '앙금' , '밀가루 반죽'이 필요하다"라고 쓰여..

안녕하세요! 이번 포스팅에서는 모바일 앱해킹에서 가장 중요하게 사용되는 Frida 설치 방법에 대하여 알려드리겠습니다.  Frida 란? > 모바일 애플리케이션 및 기타 프로그램에서 사용되는 동적 코드 분석 및 조작 도구입니다. 쉽게 말해서 어플이 동작할때 코드를 분석할 수 있고 함수가 호출될 때 저희가 작성한 함수가 호출되도록 조작할 수 있습니다. 즉! 동작중인 프로그램의 프로세스에 코드를 삽입하여 분석을 진행하는 도구입니다! Nox AppPlayer 란?> 사실 안드로이드 휴대폰이 있다면 앱을 Frida로 분석하면 되지만 이를 위해선 핸드폰을 루팅해야 합니다. 루팅이란 시스템의 최고 권한을 부여해주는 작업인데 잘못하다가 핸드폰이 벽돌이 될 수 있으므로 좀 위험한 작업입니다... 그래도 저희에겐 컴퓨터..