설치방법 안녕하세요! 오늘은 앱해킹 기법 공부를 위하여 Anroid 용 Diva 설치를 진행하여 보겠습니다! 실습을 진행하면서 디컴파일러 프로그램인 JADX 는 계속 사용할테니 만약 설치를 안하셨다면 밑에 링크로 들어가셔서 설치를 진행하고 오세요!https://github.com/skylot/jadx/releases DIVA app 이란? : 모바일 앱 보안을 공부하며 실습해볼수 있도록 만든 어플을 의미합니다! 총 13가지의 문제로 구성되어있고 각 문제마다의 취약한 부분을 찾는방식이라 앱 해킹 기초를 공부할때 매우좋습니다! 이 앱에서 공부할 수 있는 항목은 크게보면 총 5가지입니다.Diva app의 13가지 문제5가지 분류1 . 취약한 로깅2. 하드코딩 이슈3. 취약한 데이터 저장4. 입력값 검증 이슈5..

안녕하세요! 이번시간에는 모바일 DIVA 문제를 보며 Insecure Data Storage = '취약한 데이터 저장' 취약점 에 대하여 실습해보는 과정에 대하여 알아보겠습니다!  Insecure Data Storage 란?> 개인정보같이 민감한 정보를 편의성을 위하여 로컬저장소에 저장해놓을 때 데이터를 평문으로 저장해버리면 공격자에 의하여 저장소가 노출될 경우 사용자의 아이디와 패스워드가 그대로 노출될 수 있는 취약점을 의미합니다. 예를들어 자동로그인을 위하여 앱의 내부저장소에 아이디와 비밀번호 정보를 저장하는 경우 비밀번호를 평문 그대로 저장해버리면 앱 내부 저장소에 접근하는 것만으로도 사용자의 계정정보가 탈취될 수 있습니다.[실습]1. Insecure Data Storage - Part 11. 우선..

안녕하세요! 이번시간은 무료로 사용할 수 있는 디스어셈블러 툴인 GHIDRA 설치방법에 대한 포스팅 입니다. 모바일 DIVA 문제를 살펴보다가 .so 확장자 파일을 열어봐야 했는데 , .so 파일은 바이너리 파일로써 디스어셈블러 툴로 코드를 어셈블리어로 변환하여 코드흐름을 살펴보게 되었습니다. ※리버싱 툴이랑 뭐가 다른가?GHIDRA 또한 리버싱 에서도 쓰이는 툴이긴 한데 OllyDbg나 Frida 같은 툴과 차이점은 GHIDRA같은경우는 정적분석을 하기 위해 만들어 졌다는 것입니다. 즉 프로그램이 실행되는 동안이 아닌 그냥 코드를 살펴보며 흐름을 확인하는 용도라는 것이죠! 1. JAVA 설치GHIDRA를 사용하시려면 우선 자바가 설치되어있어야 합니다. 자바는 JDK 최신버전으로 설치하시면 됩니다!우선 ..