전체 글(24)
-
2. 부적절한 서버 설정
- 취약점 설명 :1) 서버는 보안에 영향을 미치는 다양한 환경설정 옵션이 있으며, 애플리케이션 배포 시에는 취약점을 패치하지 않거나, 적절하지 않은 파일 권한 설정, 디폴트 패스워드를 사용하는 계정을 남겨두는 등 기본적으로 안전하지 않은 상태로 배포 될 수 있다.2) 강화된 서버 환경설정 표준을 보유하는 것은 안전한 애플리케이션에 있어 중요한 부분이다. - 점검 방법 1) Directory indexing을 통한 서버의 디렉토리 접근 여부를 점검한다.2) 소스코드나 응답 패킷 상에 계정정보 등 중요정보가 노출되는지 점검한다. 3) 백업, 디폴트, 예제, 환경, 로그 설정 파일의 존재 여부를 점검한다. - 조치 방안1) 웹 서버의 환경 설정 검사, 최소한의 계정 사용, 디렉토리 인덱싱을 제거한다. 2) ..
2024.11.24 -
1. 입력 값 검증
- 취약점 설명 :1) 서버에 전달되는 매개변수 값에 대해 조작 가능할 경우 발생하며, 사용자 또는 애플리케이션에 포함되어 있는 정보가 노출되거나 사용자/관리자의 권한이 노출될 수 있으며 컨텐츠의 조작 등의 피해가 발생할 수 있다. 2) 입력 값 검증 상세 항목은 아래와 같다.NO진단 상세 항목설명1SQL INJECTION임의의 SQL구문 삽입을 통한 SQL구문 실행의 제한2파일 업로드 취약점지정된 파일 형식 이외의 임의의 파일은 업로드 제한3다운로드 취약점지정된 파일 이외의 임의의 파일 다운로드 제한4소스코드 노출컴파일 되지 않은 소스 코드 및 중요 로직에 대한 코드 노출 제한5매개 변수 부정 조작요청(Request)의 매개변수를 조작하여 권한 취득 등의 비정상적인 동작을 제한6크로스 사이트 스크립트 ..
2024.11.24 -
[루팅] CF-Auto-Root 통해서 루팅하기
예전부터 유명한 CF-Auto-Root를 이용하여 안드로이드 기기를 루팅하는 방법을 소개하겠습니다.앞으로 소개하겠지만 Magisk를 통해 루팅하는 것과 다른 점은 CF-Auto-Root를 통해 루팅을 하면 루팅 기기에 SuperSU가 설치되게 됩니다.다만, SuperSU는 매지스크와 다르게 rooting hide를 따로 활성화/비활성화를 할 수 없게 됩니다. 사전 준비자신이 소유하고 있는 기기의 모델명을 확인해야 합니다.모델명은 설정 > 휴대전화 정보 > 모델번호에서 확인할 수 있습니다. 루팅 방법 1. 아래 URL로 접속합니다.https://autoroot.chainfire.eu/ 2. 이미 확인한 기기의 모델명을 검색하여 Download 버튼을 클릭합니다. 3. zip 형식의 파일을 클릭하여 다운로드..
2024.06.13 -
AndroidManifest.xml 복호화
가끔 모바일 앱 취약점 진단을 하다보면 디컴파일 방지 설정 때문에 대상 APK 파일이 정상적으로 디컴파일링 되지 않은 경우가 있다. 이때, 앱 분석의 첫 번째 단계인 AndroidManifest.xml 파일 분석을 진행해야 하는데 단순히 APK 파일을 zip 으로 압축 해제 하는 경우 아래 이미지처럼 AndroidManifest.xml 파일이 암호화 되어 있다. 이런 경우에 디컴파일 없이 AndroidManifest.xml 파일 복호화 하는 방법을 소개하겠다. 이를 복호화 할 수 있는 툴은 AXMLPrinter2.jar로 아래 링크에서 다운로드 할 수 있다. https://code.google.com/archive/p/android4me/downloads Google Code Archive - Long-..
2024.03.31 -
APK 파일 구조
- lib : 라이브러리 파일들이 저장되는 디렉토리 - res : 앱 실행에 필요한 자원이 모여있는 디렉토리(용량 작은파일 위주로 저장) > Drawable : 프로젝트에 활용될 이미지들 저장됨 > Layout : 안드로이드 화면을 담당하는 xml 파일들 저장 > Values >> dimens.xml : 텍스트 크기, 도형 크기 등 크기에 관련된 설정파일 >> strings.xml : 문자열에 관련된 설정파일 >> styles.xml : 색상, 액션바 유무, 배경색 등 화면 디자인에 관련된 설정파일 - assets : 앱 실행에 필요한 자원들이 저장되는 디렉토리(주로 용량 큰 파일 위주로 저장) - classes.dex : .class 파일을 dalvik 바이트 코드로 변환시킨 소스파일 - Android..
2024.03.31 -
[iOS 취약점] 저장소 내에 중요정보 평문 저장
취약점 개요: 로컬 기기 내 iOS 앱의 임시 데이터 및 영구 데이터를 저장할 수 있다. 이때, 데이터를 평문으로 저장하는 경우 계정정보, 개인정보, 시스템 정보 등 중요정보가 유출될 수 있다. 아래와 같은 장소에 중요정보가 저장될 수 있다. 취약점 진단 방법: 1. Data Container - 앱의 내부 데이터를 저장하는 곳 > 절대경로: /var/mobile/Containers/Data/Applications/$uuid -> Documents: 사용자 데이터를 저장함(사용자에게 노출되고 생성, 삭제 또는 수정할 수 있는 파일, 사용자가 다운로드한 파일(비디오 또는 오디오 앱) 등) -> Library/Application support: 앱을 실행하는데 사용되는 폴더로 사용자에게 보이지 않음(앱이 ..
2023.10.15