반응형
SMALL
DIVA 앱을 실행하고 2. Hardcoding Issue - Part 1을 선택하면 맨 위 상단에 힌트가 나오는데 어디에 하드코딩된 정보가 있는지 찾으라고 나온다. 하지만 이 앱만 봐서는 하드코딩된 정보를 찾을 순 없다.
중간에 어떤 걸 Access 하는게 있는데 아무런 값이나 대입하고 Access를 실행해보니 Access가 거부되었다는 메시지가 표시된다.
소스 코드를 보면 access 하는 함수 부분에서 사용자가 입력한 값과 vendorsecretkey라는 문자열과 비교하고 있다. 여기서 vendorsecretkey가 Access 할 수 있는 Key 값임을 알 수 있다. 그림 1-3과 같이 코드에 Key 값이 노출되면 매우 위험하다고 판단할 수 있으며 하드코딩 취약점으로 판별할 수 있다.
Diva 앱으로 다시 돌아와 입력값란에 vendorsecretkey를 입력하고 Access하면 성공적으로 Access가 되었다는 메시지가 표시된다.
반응형
LIST
'안드로이드 앱 취약점 진단 > DIVA' 카테고리의 다른 글
| [안드로이드 APK 진단]DIVA - 8. 입력 값 검증 부재 - 2 (0) | 2019.09.12 |
|---|---|
| [안드로이드 APK 진단]DIVA - 7. 입력 값 부재 검증 - 1 (0) | 2019.09.09 |
| [안드로이드 APK 진단]DIVA - 6. 안전하지 않은 데이터 저장 확인 - 4 (0) | 2019.09.09 |
| [안드로이드 APK 진단]DIVA - 5. 안전하지 않은 데이터 저장 확인 - 3 (0) | 2019.09.08 |
| [안드로이드 APK 진단]DIVA - 4. 안전하지 않은 데이터 저장 확인 - 2 (0) | 2019.09.08 |
만년필석사