[WARNING] 또야주의

1. Windows APM 통합 환경 구축 Autoset 10.7.2 사용 http://autoset.net/xe/download_autoset_10_7_2 2. mysql 비밀번호 변경 MySQL 콘솔창에 접속하여 mysql -u root -p를 입력하면 Access denied for user 'root'@'localhost' (using password: YES) 오류가 발생한다. 초기 비밀번호를 지정하지 않았다면 mysql -u root로 접속한 후 다음과 같이 비밀번호 변경 완료 https://likethefirst.tistory.com/entry/MySQL-Column-Password-is-not-updatable 3. ORACLE database 21c / SQL Server 2019와 PH..

취약점 소개 하드코딩은 데이터를 코드 내부에 직접 입력하는 것이다. 즉, 프로그램의 소스 코드에 데이터를 직접 입력해서 저장한 경우를 뜻하며 상수 사용도 하드 코딩에 속한다. 아이디, 비밀번호, 키 등 중요한 정보를 주석 처리하는 것도 모바일 앱에서는 하드코딩 취약점으로 판단되는데, 이는 안드로이드 모바일 앱의 디컴파일이 가능한 이유에서 정보가 노출되므로 그러하다. 아래와 같이 파일 입출력 시 파일의 경로를 직접적으로 입력한 경우도 해당한다. File file = new File("C:/pentester/saemoi/"); 표 3-1 하드코딩의 대표적 예 취약점 진단 수행 인시큐어뱅크 앱의 하드코드된 데이터들을 알아본다. 우리는 개발 단계에서 사용하는 로그인 계정의 아이디와 비밀번호를 알고 있다. 계정 ..

취약점 소개 안드로이드 시스템은 애플리케이션의 데이터를 백업할 수 있는 기능을 제공하는데, 처음에는 구글 클라우드를 통한 백업만 가능했으나 아이스크림 샌드위치(4.0) 버전으로 업데이트 이후 사용자 로컬 PC에 데이터를 저장할 수 있게 되었다. 이를 로컬 백업 또는 전체 백업이라 하는데, 사용자는 전체 백업을 통해서 apk 파일, 데이터, 파일 등을 USB를 통해 사용자 PC에 저장할 수 있다. 클라우드 백업과 전체 백업의 차이는 다음과 같다. 🤍 클라우드 백업을 했을 때는 데이터가 클라우드에서 관리되므로 외부 유출이 적고 직접 관리하지 않아도 되어 다소 안전하지만, 🖤 전체 백업은 사용자가 직접 백업을 진행하므로 데이터 유출에 대한 위험이 있다. 만약 이러한 과정에서 원치 않은 데이터나 파일이 백업된다..

취약점 소개 안드로이드 애플리케이션에서 단말기에 주요 정보를 저장하기 위해서는 공격자에게 정보가 노출되지 않도록 평문이 아닌 암호화된 데이터로 저장해야 한다. 이러한 과정에서 발생하는 취약점을 로컬 암호화 취약점이라 한다. 암호화 과정에서 대칭키 암호화 방식은 키 배송 문제가 있어 공개키 암호화를 이용하여 수신자의 공개키로 암호화하고, 수신자의 개인키로 복호화하여 정보의 기밀성을 보장할 수 있다. (키 배송 문제 : 대칭 키를 보내야만 복호화가 가능한데, 이 키를 어떻게 사전에 안전하게 배송할 것인가의 문제이다.) 취약점 진단 수행 Autofill Credentials 기능 확인 다음 인시큐어뱅크 앱에서의 초기 로그인 화면을 보자. 그림 3-1 인시큐어뱅크 앱 초기 로그인 화면 - Autofill Cre..

취약점 소개 브로드캐스트 리시버란 안드로이드 시스템의 중요 요소 중 하나이다. 브로드캐스트란 '방송하다'라는 의미가 있으며, 브로드캐스트 리시버는 '방송 수신자'라는 의미로 유추할 수 있다. 안드로이드 시스템에서 특정 이벤트가 발생 시 시스템은 시스템 브로드캐스트 메세지를 이벤트를 수신하도록 신청한 모든 앱에 보내고, 브로드캐스트는 이를 수신한다. 표준 브로드캐스트 액션에는 ACTION_SHUTDOWN ACTION_TIME_TICK, ACTION_BOOT_COMPLETE ACTION_PACKAGE_ADD ACTION_BATTERY_CHANGED ACTION_POWER_CONNECTED 등이 있다. 즉, 브로드캐스트 리시버는 배터리가 충전되고, 시스템이 방전되고, 부팅이 완료되..