외로운 Nova의 작업실

- 취약점 소개 하드코딩이란 패스워드나 중요 정보 또는 암호화키를 불러오지않고 직접 코드내에 써넣는 것을 말합니다. 이처럼 하드코딩을 하게되면 디컴파일 했을때 중요 정보나 패스워드등을 노출할 수 있습니다. - 취약점 진단 과정 디컴파일 후 소스코드에 중요정보가 있는 지 확인합니다. public void postData(String valueIWantToSend) throws ClientProtocolException, IOException, JSONException, InvalidKeyException, NoSuchAlgorithmException, NoSuchPaddingException, InvalidAlgorithmParameterException, IllegalBlockSizeException, ..

- 취약점 소개 안드로이드 애플리케이션에서 요청하는 값을 중간에서 가로챈 후 매개변수 값을 변조하여 전송할 수 있는 취약점 입니다. - 취약점 진단 프록시서버로 로그인 패킷을 잡아보겠습니다. 정상적으로 로그인이 되어야하지만, 패스워드를 변경하여 패킷을 조작해 서버로 보내보겠습니다. 그러면 서버에서 응답이 옵니다. 사용자 입장에서는 올바른 패스워드를 입력했지만 로그인이 안됬음을 느낄 것입니다. 이처럼 패킷의 파라미터를 조작할 수 있습니다. 이번에는 계좌이체를 조작해보겠습니다. 999999999 계좌에서 555555555계좌로 10000원을 보내고 있습니다. 이를 99999로 변경해보겠습니다. 이제 statements 액티비티를 보게되면 10000원을 보낸걸로 되어있습니다. 실제로는 99999를 보냈음에도 ..

- 취약점 소개 앱이 서버와 통신을 할때 HTTP 프로토콜을 이용하면 패킷이 암호화되어있지않아 스니핑 공격을 통해 패킷 정보를 탈취할 수 있습니다. - 취약점 진단 안드로이드에서 패킷을 보는 방법은 프록시를 사용하는 방법과 네트워크 상에서 패킷 정보를 확인하는 방법이 있습니다. 프록시를 사용하는 방법은 버프스위트를 사용하며 네트워크 상에서 패킷 정보를 확인하는 방법은 안드로이드 앱에서 tPacketCapture 앱으로 패킷을 캡처하고 이 캡처본을 와이어샤크를 통해 보는 방법입니다. 해당 블로그에서는 버프스위트를 사용하여 프록시로 패킷을 봐보겠습니다. 먼저 버프스위트를 다운로드해줍니다. https://portswigger.net/burp/community-download-thank-you Upgrade y..