[Insecure Bank] 설치방법&환경셋팅 부터 취약점 진단까지 모아보기! (Part 2)
·
모바일 앱해킹(Android)/Insecure Bank
이전 게시물과 이어지는 내용입니다!이전게시물 우선 Insecure Bank 를 설치하기 위해선 3가지가 필요합니다.Nox 앱플레이어Miniconda (python2 사용을 위해)Insecure APK (Github 에서 다운로드)만약 Nox 앱플레이어가 설치 안되어있으시면 아래 링크로 이" data-og-host="jamesbexter.tistory.com" data-og-source-url="https://jamesbexter.tistory.com/entry/Insecure-Bank-%EC%84%A4%EC%B9%98%EB%B0%A9%EB%B2%95%ED%99%98%EA%B2%BD%EC%85%8B%ED%8C%85-%EB%B6%80%ED%84%B0-%EC%B7%A8%EC%95%BD%EC%A0%90-%EC%..
[Insecure Bank] 설치방법&환경셋팅 부터 취약점 진단까지 모아보기! (Part 1)
·
모바일 앱해킹(Android)/Insecure Bank
> 우선 Insecure Bank 를 설치하기 위해선 3가지가 필요합니다.Nox 앱플레이어Miniconda (python2 사용을 위해)Insecure APK (Github 에서 다운로드)만약 Nox 앱플레이어가 설치 안되어있으시면 아래 링크로 이동하셔서 Nox를 설치하시고 와주세요! 설치를 하셨다면 남은 두개를 설치하는 과정을 아래서 설명해놓았으니 따라오시면 됩니다. https://kr.bignox.com/ Noxplayer – Fastest and Smoothest Android Emulator for PC & Mac – Free and SafePlay the most popular mobile games and run apps on PC with NoxPlayer, the best Android E..
[Insecure Bank] 하드코딩 취약점 & 개발자 백도어
·
모바일 앱해킹(Android)/Insecure Bank
안녕하세요! 오늘은 하드코딩 취약점 & 사용자 정보 목록 이슈화 취약점 두가지의 대하여 실습을 통해 알아보겠습니다! [하드코딩 취약점 이란?]> 하드코딩이란 , 객체를 사용하지 않고 코드를 재사용할 수 없도록 코드 안에 변수를 상수로 사용하거나 코드를 다시 컴파일하지 않고서는 바꿀 수 없는 형태로 코딩하는 것을 말합니다. 이렇게 상수값 그대로 코드에 적어버리면 여러 문제점들이 발생하는데 예를들어 관리자 패스워드나 중요정보 , 암호화키 등이 코드에 노출이 될 경우 디컴파일을 통해서 정보가 노출될 수 있습니다! [개발자 백도어 란?] > 백도어란 정상적인 프로그램에 자신만이 들어갈 수 있는 코드를 삽입하여 정당한 인증 절차를 거치지 않고 들어갈 수 있는 뒷문입니다. 개발자들이 보통 유지보수나 디버깅 시 시간..
[Insecure Bank] 안전하지 않은 HTTP 통신 & 파라미터 조작
·
모바일 앱해킹(Android)/Insecure Bank
안녕하세요! 오늘은 안전하지 않은 HTTP 통신 , 파라미터 조작 취약점 2개를 실습을 통해 알아보겠습니다.  [안전하지 않은 HTTP 통신이란?]> 안드로이드 에서도 앱과 서버간의 데이터 통신을 할 때 HTTP통신을 사용합니다. 하지만 HTTP는 보안을 고려하지 않기 때문에 공격자의 스니핑/스푸핑 공격을 이용하여 계정 아이디/비밀번호, 개인 정보를 탈취할 수 있습니다. 중요 정보는 SLL/TLS 통신이 적용된 HTTPS로 안전하게 전송하여야 합니다. [파라미터 조작 취약점이란?]> 안드로이드 앱에서 요청하는 값을 중간에서 가로챈 후 매개변수값을 변조하여 전송합니다. 웹해킹에서도 주로 다루는 내용으로 사용자의 개인 정보 수정, 다른 사용자의 게시물 삭제 및 수정 등이 해당합니다. 예를들어 제가 제 게시물..
[Insecure Bank] 안전하지 않은 SD 카드 저장소
·
모바일 앱해킹(Android)/Insecure Bank
안녕하세요! 오늘은 '안전하지 않은 SD 카드 저장소' 취약점에 대하여 실습과 함께 알아보겠습니다. ['안전하지 않은 SD카드 저장소' 란?]> 애플리케이션이 SD 카드 저장소에 중요한 정보나 파일을 저장하여 발생하는 취약점으로 "OWASP Mobile Top 10 M2: Insecure Data Storage"에 해당합니다. 안드로이드는 데이터를 저장할 때 크게 내부 저장소 , 외부저장소로 나눌수 있습니다. 내부 저장소에 파일을 저장하는 것까지는 문제가 없지만 파일 저장시 암호화를 제대로 안하게 되면 중요 정보가 누출될 수 있고, 외부 저장소에 중요 정보를 저장하게 되면 어느 어플이던지 외부 저장소에 접근이 가능하기 때문에 이 또한 민감한 정보가 유출될 수 있습니다. - 내부 저장소> 안드로이드 플랫폼..
[Insecure Bank] 안드로이드 백업 취약점
·
모바일 앱해킹(Android)/Insecure Bank
안녕하세요! 오늘은 '안드로이드 백업 취약점' 에 대하여 실습을 통해 알아보겠습니다. ['안드로이드 백업 취약점' 이란?]> 안드로이드 에선 백업 데이터를 사용자 PC에 저장할 수 있게 해주는 로컬백업을 지원하게 되었습니다. 이로인해 사용자는 전체 백업을 사용하여 설치된 어플의 apk 파일뿐만 아니라 관련 데이터,저장소의 파일 등을 USB를 통해 연결된 pc에 저장할 수 있게되었습니다. 하지만 android:allowBackup 속성 값이 'true'로 되어있을 경우 공격자 또한 백업데이터를 추출하는게 가능해지고 이 데이터를 분석하여 민감한 개인정보를 얻는것이 가능해집니다.1. 취약점 탐색> 인시큐어 뱅크를 디컴파일하여 AndroidManifest.xml 소스코드를 살펴보면 android:allowBac..
[Insecure Bank] 디버깅 취약점 & 런타임 조작 취약점
·
모바일 앱해킹(Android)/Insecure Bank
안녕하세요! 오늘은 '디버깅 기능 취약점' 그리고 '런타임 조작 취약점' 2개를 실습해보려고 포스팅하였습니다! 디버깅 취약점으로 인해 런타임 조작이 일어날 수 있어서 이 두개의 항목을 묶게 되었습니다! ['디버깅 취약점' 이란?]> Application Debuggable 취약점은 안드로이드 디버깅 모드의 설정 여부에 따라 발생합니다. AndroidManifest.xml 에 포함되는 속성인데 기본적으로 디버깅 모드는 앱이 배포될때 "false" 로 지정되어 있습니다. 하지만 개발중에 편의상 디버깅 옵션을 "true"로 해놓는 경우가 있는데 이 경우 앱의 중대한 보안 결함이 발생할 수 있습니다. ['런타임 조작' 이란?]> 앱이 실행되는 도중 메모리상에 악의적인 행동을 하는 취약점입니다. 메모리상에 올라가..