설치방법 안녕하세요! 오늘은 앱해킹 기법 공부를 위하여 Anroid 용 Diva 설치를 진행하여 보겠습니다! 실습을 진행하면서 디컴파일러 프로그램인 JADX 는 계속 사용할테니 만약 설치를 안하셨다면 밑에 링크로 들어가셔서 설치를 진행하고 오세요!https://github.com/skylot/jadx/releases DIVA app 이란? : 모바일 앱 보안을 공부하며 실습해볼수 있도록 만든 어플을 의미합니다! 총 13가지의 문제로 구성되어있고 각 문제마다의 취약한 부분을 찾는방식이라 앱 해킹 기초를 공부할때 매우좋습니다! 이 앱에서 공부할 수 있는 항목은 크게보면 총 5가지입니다.Diva app의 13가지 문제5가지 분류1 . 취약한 로깅2. 하드코딩 이슈3. 취약한 데이터 저장4. 입력값 검증 이슈5..

안녕하세요! 이번시간 포스팅에선 Access Control Issues 에 관하여 Android DIVA 를 실습해보며 알아가는 과정을 보여드리겠습니다! 우선 Access Control Issues 라는 것은 무엇일까요? ※ Access Control Issues 란?> 접근 제어 이슈라고도 하는 이 취약점은 제 기준으로는 웹 해킹으로 따지면 불충분한 인가 취약점에 가깝습니다. 예를들어 관리자 페이지로 이동하는 특정 동작이 있는데 이를 앱 외부에서 호출하여 관리자가 아니더라도 우회하여 접근할 수 있는경우 , PIN 번호를 입력해야 동작하는 것을 PIN번호 없이 동작시킬 수 있는 경우가 있습니다.[실습]1. Access Control Issues - Part 1 1. 우선 Access Control Iss..

안녕하세요! 이번 포스팅에선 Input Validation Issues 취약점에 대하여 DIVA 문제를 실습해보며 익히는 내용을 포스팅하겠습니다! 우선 Input Validation Issues 란 무엇일까요??  Input Validation Issues 란?>  사용자의 입력값을 받는 과정에서 특별한 필터링이나 제한을 두지않아 예기치 못한 동작을 일으키는 경우를 말합니다. 예를들어 SQL Injection 인 경우 입력값에 대한 필터링이 충분히 되어있질 않아서 DB에 접근할 수 있게되는데 이런 경우도  Input Validation Issues 이라고 할 수 있습니다![실습]1. Input Validation Issues - Part 11. 우선 INPUT VALIDATION ISSUES -PART ..

안녕하세요! 이번시간에는 모바일 DIVA 문제를 보며 Insecure Data Storage = '취약한 데이터 저장' 취약점 에 대하여 실습해보는 과정에 대하여 알아보겠습니다!  Insecure Data Storage 란?> 개인정보같이 민감한 정보를 편의성을 위하여 로컬저장소에 저장해놓을 때 데이터를 평문으로 저장해버리면 공격자에 의하여 저장소가 노출될 경우 사용자의 아이디와 패스워드가 그대로 노출될 수 있는 취약점을 의미합니다. 예를들어 자동로그인을 위하여 앱의 내부저장소에 아이디와 비밀번호 정보를 저장하는 경우 비밀번호를 평문 그대로 저장해버리면 앱 내부 저장소에 접근하는 것만으로도 사용자의 계정정보가 탈취될 수 있습니다.[실습]1. Insecure Data Storage - Part 11. 우선..

안녕하세요! 지난시간에는 '취약한 로깅'  취약점에 대하여 다뤘습니다. 이번시간에는 '하드코딩 이슈' 취약점 에 관한 DIVA 문제를 살펴보며 알아가는 포스팅입니다! 지난 포스팅 [Android DIVA] '취약한 로깅' 취약점안녕하세요! 저번시간에는 모바일 취약점 연습용 어플 Diva 를 다운로드 설치했었습니다! 이번 시간에는 모바일 Diva 취약점중 하나인 '취약한 로깅' 취약점에 대하여 살펴보겠습니다! 저번 포스jamesbexter.tistory.com Hardcoding Issue 란?> 소스코드 내에 중요한 정보를 직접 입력해놓는 보안사고를 말합니다. 예를들어 Admin 페이지로 들어가려면 PIN번호를 작성해야 하는데 인증절차 과정에서  if( user의 입력값 == '591354')  이런식으..

안녕하세요! 저번시간에는 모바일 취약점 연습용 어플 Diva 를 다운로드 설치했었습니다! 이번 시간에는 모바일 Diva 취약점중 하나인 '취약한 로깅' 취약점에 대하여 살펴보겠습니다! 저번 포스팅 [Android DIVA] Android DIVA app 설치하기 (feat.jadx)안녕하세요! 오늘은 앱해킹 기법 공부를 위하여 Anroid 용 Diva 설치를 진행하여 보겠습니다! 실습을 진행하면서 디컴파일러 프로그램인 JADX 는 계속 사용할테니 만약 설치를 안하셨다면 밑에 링jamesbexter.tistory.com '취약한 로깅' 이란? > 모바일 앱 개발을 하면서 변수값이 잘들어가는지 , 어디서 오류가 나는지 확인하기위하여 Log.d 나 Log.e 를 자주 활용하게 됩니다. 하지만 개발 규모가 커지..

안녕하세요! 이번시간은 무료로 사용할 수 있는 디스어셈블러 툴인 GHIDRA 설치방법에 대한 포스팅 입니다. 모바일 DIVA 문제를 살펴보다가 .so 확장자 파일을 열어봐야 했는데 , .so 파일은 바이너리 파일로써 디스어셈블러 툴로 코드를 어셈블리어로 변환하여 코드흐름을 살펴보게 되었습니다. ※리버싱 툴이랑 뭐가 다른가?GHIDRA 또한 리버싱 에서도 쓰이는 툴이긴 한데 OllyDbg나 Frida 같은 툴과 차이점은 GHIDRA같은경우는 정적분석을 하기 위해 만들어 졌다는 것입니다. 즉 프로그램이 실행되는 동안이 아닌 그냥 코드를 살펴보며 흐름을 확인하는 용도라는 것이죠! 1. JAVA 설치GHIDRA를 사용하시려면 우선 자바가 설치되어있어야 합니다. 자바는 JDK 최신버전으로 설치하시면 됩니다!우선 ..