취약점 개요: 로컬 기기 내 iOS 앱의 임시 데이터 및 영구 데이터를 저장할 수 있다. 이때, 데이터를 평문으로 저장하는 경우 계정정보, 개인정보, 시스템 정보 등 중요정보가 유출될 수 있다. 아래와 같은 장소에 중요정보가 저장될 수 있다. 취약점 진단 방법: 1. Data Container - 앱의 내부 데이터를 저장하는 곳 > 절대경로: /var/mobile/Containers/Data/Applications/$uuid -> Documents: 사용자 데이터를 저장함(사용자에게 노출되고 생성, 삭제 또는 수정할 수 있는 파일, 사용자가 다운로드한 파일(비디오 또는 오디오 앱) 등) -> Library/Application support: 앱을 실행하는데 사용되는 폴더로 사용자에게 보이지 않음(앱이 ..

보호되어 있는 글입니다.

1) 파일 기반 탈옥 탐지 - 탈옥 관련된 파일 및 디렉터리를 확인함 /Applications/Cydia.app /Applications/FakeCarrier.app /Applications/Icy.app /Applications/IntelliScreen.app /Applications/MxTube.app /Applications/RockApp.app /Applications/SBSettings.app /Applications/WinterBoard.app /Applications/blackra1n.app /Library/MobileSubstrate/DynamicLibraries/LiveClock.plist /Library/MobileSubstrate/DynamicLibraries/Veency.plist ..

- 취약점 설명: 로그인 계정정보, 주민등록번호 등 중요정보가 메모리에 평문으로 저장되는 경우 공격자는 메모리 덤프를 수행하여 메모리 내 중요 데이터 탈취가 가능함 - 메모리 내 데이터 저장 방식 메모리 영역은 변수나 객체가 저장되는 영역으로 ,스택과 힙 메모리 영역으로 구분됨 > 스택 메모리 영역: 값 타입의 변수를 저장 > 힙 메모리 영역: 참조 타입의 객체를 저장 값 타입: 직접 값을 담도 있는 변수이며, 변수에 할당된 값이 직접 저장됨 ex) int num = 1; 참조 타입: 값이 저장된 위치를 저장하는 변수이며, 변수에 할당된 값은 객체나 배열이 저장된 메모리 주소를 참조함 ex) String s = "test"; - 취약한 소스코드 예시 String 타입 사용 > String 타입의 변수를 ..

보호되어 있는 글입니다.