안녕하세요! 이번시간 포스팅에선 Access Control Issues 에 관하여 Android DIVA 를 실습해보며 알아가는 과정을 보여드리겠습니다! 우선 Access Control Issues 라는 것은 무엇일까요? ※ Access Control Issues 란?> 접근 제어 이슈라고도 하는 이 취약점은 제 기준으로는 웹 해킹으로 따지면 불충분한 인가 취약점에 가깝습니다. 예를들어 관리자 페이지로 이동하는 특정 동작이 있는데 이를 앱 외부에서 호출하여 관리자가 아니더라도 우회하여 접근할 수 있는경우 , PIN 번호를 입력해야 동작하는 것을 PIN번호 없이 동작시킬 수 있는 경우가 있습니다.[실습]1. Access Control Issues - Part 1 1. 우선 Access Control Iss..

안녕하세요! 이번 포스팅에선 Input Validation Issues 취약점에 대하여 DIVA 문제를 실습해보며 익히는 내용을 포스팅하겠습니다! 우선 Input Validation Issues 란 무엇일까요??  Input Validation Issues 란?>  사용자의 입력값을 받는 과정에서 특별한 필터링이나 제한을 두지않아 예기치 못한 동작을 일으키는 경우를 말합니다. 예를들어 SQL Injection 인 경우 입력값에 대한 필터링이 충분히 되어있질 않아서 DB에 접근할 수 있게되는데 이런 경우도  Input Validation Issues 이라고 할 수 있습니다![실습]1. Input Validation Issues - Part 11. 우선 INPUT VALIDATION ISSUES -PART ..

안녕하세요! 이번시간에는 모바일 DIVA 문제를 보며 Insecure Data Storage = '취약한 데이터 저장' 취약점 에 대하여 실습해보는 과정에 대하여 알아보겠습니다!  Insecure Data Storage 란?> 개인정보같이 민감한 정보를 편의성을 위하여 로컬저장소에 저장해놓을 때 데이터를 평문으로 저장해버리면 공격자에 의하여 저장소가 노출될 경우 사용자의 아이디와 패스워드가 그대로 노출될 수 있는 취약점을 의미합니다. 예를들어 자동로그인을 위하여 앱의 내부저장소에 아이디와 비밀번호 정보를 저장하는 경우 비밀번호를 평문 그대로 저장해버리면 앱 내부 저장소에 접근하는 것만으로도 사용자의 계정정보가 탈취될 수 있습니다.[실습]1. Insecure Data Storage - Part 11. 우선..

안녕하세요! 오늘은 앱해킹 기법 공부를 위하여 Anroid 용 Diva 설치를 진행하여 보겠습니다! 실습을 진행하면서 디컴파일러 프로그램인 JADX 는 계속 사용할테니 만약 설치를 안하셨다면 밑에 링크로 들어가셔서 설치를 진행하고 오세요!https://github.com/skylot/jadx/releases DIVA app 이란? : 모바일 앱 보안을 공부하며 실습해볼수 있도록 만든 어플을 의미합니다! 총 13가지의 문제로 구성되어있고 각 문제마다의 취약한 부분을 찾는방식이라 앱 해킹 기초를 공부할때 매우좋습니다! 이 앱에서 공부할 수 있는 항목은 크게보면 총 5가지입니다.Diva app의 13가지 문제5가지 분류1 . 취약한 로깅2. 하드코딩 이슈3. 취약한 데이터 저장4. 입력값 검증 이슈5. 접근 ..