[WARNING] 또야주의

취약점 소개 안드로이드 애플리케이션에서 단말기에 주요 정보를 저장하기 위해서는 공격자에게 정보가 노출되지 않도록 평문이 아닌 암호화된 데이터로 저장해야 한다. 이러한 과정에서 발생하는 취약점을 로컬 암호화 취약점이라 한다. 암호화 과정에서 대칭키 암호화 방식은 키 배송 문제가 있어 공개키 암호화를 이용하여 수신자의 공개키로 암호화하고, 수신자의 개인키로 복호화하여 정보의 기밀성을 보장할 수 있다. (키 배송 문제 : 대칭 키를 보내야만 복호화가 가능한데, 이 키를 어떻게 사전에 안전하게 배송할 것인가의 문제이다.) 취약점 진단 수행 Autofill Credentials 기능 확인 다음 인시큐어뱅크 앱에서의 초기 로그인 화면을 보자. 그림 3-1 인시큐어뱅크 앱 초기 로그인 화면 - Autofill Cre..

취약점 소개 브로드캐스트 리시버란 안드로이드 시스템의 중요 요소 중 하나이다. 브로드캐스트란 '방송하다'라는 의미가 있으며, 브로드캐스트 리시버는 '방송 수신자'라는 의미로 유추할 수 있다. 안드로이드 시스템에서 특정 이벤트가 발생 시 시스템은 시스템 브로드캐스트 메세지를 이벤트를 수신하도록 신청한 모든 앱에 보내고, 브로드캐스트는 이를 수신한다. 표준 브로드캐스트 액션에는 ACTION_SHUTDOWN ACTION_TIME_TICK, ACTION_BOOT_COMPLETE ACTION_PACKAGE_ADD ACTION_BATTERY_CHANGED ACTION_POWER_CONNECTED 등이 있다. 즉, 브로드캐스트 리시버는 배터리가 충전되고, 시스템이 방전되고, 부팅이 완료되..

mysql -u root -p 라는 명령어를 기초적으로 쓸 일이 있어 사용했는데, 정확히 무슨 뜻인지 알고자 검색했으나 명령어 통째로 나오는 포스팅이 없어서 글을 쓰게 되었다. 기본적으로는 mysql 명령어의 옵션들을 조합하는 것이므로 그것을 참고하면 된다고 생각한다. 먼저 mysql -u는 뒤에 [username]을 붙여서 로그인 할 유저명을 입력한다는 뜻이다. 즉, mysql -u root는 ✅ root 계정으로 접속한다는 뜻이다. 추가로, 📢 --user=root를 입력해도 동일하다. 뒤의 -p 옵션은 ✅ 서버에 로그인 시 패스워드를 사용하겠다는 의미이다. 📢 --password를 입력하는 것과 같다. 레퍼런스를 통한 보다 자세한 접근을 해보자. 아래는 MySQL 8.0 Reference Manua..

개요 간단하게 _SERVER 환경변수 를 사용하여 서버 이름 유저 에이전트 정보 현재 사용자의 IP 주소 사용자가 접속한 포트 접속 정보 ACCEPT 헤더 정보 요청 URL 을 알아보도록 하겠다. 코드 설명 서버의 이름은 $_SERVER['SERVER_NAME'], 유저 에이전트 정보는 $_SERVER['HTTP_USER_AGENT'], 현재 사용자의 IP 주소는 $_SERVER['REMOTE_ADDR'], 사용자의 포트 접속 정보는 $_SERVER['REMOTE_PORT'], ACCEPT 헤더 정보는 $_SERVER['HTTP_ACCEPT'], 요청 URL은 $_SERVER['REQUIEST_URI']이다. 세부 설명..

개요 확장자가 .php인 php 프로그램 내에 HTML 태그 골격을 삽입하고, php 스크립트의 문자열과 변수, 배열을 출력한다. php는 server side script이므로 서버 단에서 실행-해석된다. (client side script와 반대되는 개념이다.) 코드와 실행결과 문자열 출력 *️⃣ 코드 기본적인 html 골격을 작성하고, 그 안에 문법으로 php 스크립트를 태그 내에 삽입하였다. echo 에 의해 ""안의 문자열이 출력된다. ✅ 실행결과 변수 출력 *️⃣ 코드 $name 문법을 통해 name이라는 변수에 soya라는 문자열 값을 지정하였고, echo "{$name}" 이라는 문법을 통해 변수를 출력할 수 있다. ✅ 실행결과 $name으로 설정한 변수가 문자열로 잘 출력되고 있다. 배열..