본문 바로가기
#3 취약점 항목별 상세 실습 part 2. - 안드로이드 모바일 앱 모의해킹 3.11. 안전하지 않은 로깅 메커니즘 3.11.1. 취약점 소개 -안드로이드의 커널 공간 안에 있는 로거(Logger)라는 커널 드라이브는 main, radio, event, system 이라는 네 가지 종류의 버퍼를 관리하고 있다.또한 사용자 공간에 있는 앱들은 보안 정책에 의해 커널의 버퍼에 접근할 수 없기 때문에 “/dev” 디렉터리에 리눅스 디바이스 노드들을 제공하여 앱이 로그를 읽고 쓸 수 있도록 하고 있다. -각 버퍼에 저장되는 내용은 아래와 같다.Main : 메인 앱 로그로서 앱이나 플랫폼 내부에서 android.util.Log 클래스로 기록된 로그Event : 시스템에서 발생하는 이벤트 정보를 위한 로그Radio : 이동통신망과 관련된 이벤트 로그System : 안드로이드 플랫폼 내부의 .. 2020. 11. 21.
[도서 정리] 47. 중간자 공격 - 보안의 기본 47. 중간자 공격 - 보안의 기본 -중각자(Man In The Middle: MITM) 공격은 통신 중간에서 공격자가 통신을 수신하여 비밀정보를 도청하거나 경우에 따라서는 통신 내용을 몰래 변조하는 공격이다.중간자 공격은 모든 종류나 형태의 2자간 통신에 있어서 적용 가능한 범용적인 공격이다. * 웹 엑세스의 중간자 공격의 예 -브라우저와 웹 서버 간의 통신에 있어 전형적인 것은 프록시 타입이다.프록시는 데이터의 송수신을 중계하는 기기로, 조직 내부에서 인터넷에 연결할 때 엑세스처를 제어할 목적으로 사용한다.하지만 이를 공격자가 사용하면 통신 데이터를 일단 수취하게 되므로 데이터의 내용을 보거나 중계처에게 송신하기 전에 데이터의 내용을 바꿔 쓸 수 있다.이것이 프록시를 사용한 중간자 공격이다. -프록시.. 2019. 11. 26.
[android] Secure Coding Guide [android] Secure Coding Guide -Android Secure Coding Guide 라는 간략한 세미나를 듣고 왔다.새로운 내용은 없지만, 그냥 Remind 하는 차원에서 정리해본다. 최소 권한 : 불필요한 퍼미션 사용하지 말자. 안드로이드 6.0(MOS) 부터 Runtime Permission 이 되면서 문제가 적어지지만, 이전에는 과도한 권한을 사용하는 문제가 있었다.꼭 필요한 권한만 정의해서 사용하라.위치정보를 사용할 때는 국내 위치정보법에 따라 필수 5대항목 고지 등의 의무사항이 있으니 확인해야 한다. (기획적인 내용) 소스코드 보안 : 난독화 여부 Proguard 난독화를 사용해라.기본 Proguard 말고도 난독화를 해주는 보안강화 솔루션 들도 있다. ( 옵션을 잘 확인하.. 2018. 5. 24.
[network] SSL 에 대해 알아보장~ [network] SSL 에 대해 알아보장~ 기본 개념 -SSL 은 Secure Sockets Layer 의 약자 -SSL 은 서버 인증 (Server Authentication), 클라이언트 인증 (Client Authentication) 그리고 데이터 암호화(Data Encryption) 이렇게 3가지 기능을 제공하는 프로토콜이다.Netscape 사에서 만들었다. -SSL 을 사용하는 URL 은 https 라는 스킴을 사용한다. -SSL 3.0 의 업그레이드 버전부터는 TLS 로 이름이 바뀌었다.TLS 는 Transport Layer Security 의 약자. -1. 웹브라우저가 SSL 로 암호화된 페이지를 요청한다. (https scheme 사용)2. 웹 서버가 public key 를 인증서와 함께.. 2018. 5. 2.
[android] Google Sign In 서버로 검증하기 #3 [android] Google Sign In 서버로 검증하기 #3 https://developers.google.com/identity/sign-in/android/backend-auth -Client 에서 Sign in 이 끝나면 user의 ID token 을 HTTPS 를 통해 서버로 보낸다.Server 에서는 ID token 을 이용해 검증한다. 이 때 절대 Account 정보에서 얻어오는 id 정보가 아니라,ID token 을 보내야 한다. -ID Token 을 가져오기 위해서는 GoogleSignInOptions 를 만들 때 requestIdToken 을 호출해야 한다.GoogleSignInOptions gso = new GoogleSignInOptions.Builder(GoogleSignInO.. 2018. 2. 24.
[Objective-C] Foundation 프레임워크의 중요 클래스 - NSDictionary, NSValue, NSNumber, NSURL [Objective-C] Foundation 프레임워크의 중요 클래스 - NSDictionary, NSValue, NSNumber, NSURL 9.5. 사전 클래스 * 9.5.1. 사전 객체 개요 -키와 값 짝을 엔트리(entry)라고 부른다.키도 값도 객체를 지정하는데 키에는 보통 문자열을 지정하는 편이다. -키는 그 사전 객체 속에서는 유니크이어야만 한다.메서드 isEqual: 로 비교해서 같다고 평가되는 키를 가진 엔트리가 여러 개 있어선 안 된다.키는 nil 도 안 된다. -값 객체에는 nil 이외의 임의의 객체를 지정할 수 있다.숫자값과 좌표 등 자료형을 사전에 포함하고 싶을 때는 나중에 오는 NSNumber, NSValue 를 사용해야 한다.또한 비어있는 것을 나타내고 싶을 때는 NSNull .. 2018. 1. 1.
[ios] Solution for "The resource could not be loaded because the App Transport Security policy requires the use of a secure connection" [ios] Solution for "The resource could not be loaded because the App Transport Security policy requires the use of a secure connection" -Add following to "info.plist"NSAppTransportSecurity NSDictionary NSAllowsArbitraryLoads BOOL YES -The reason why such error appears is that Apple decided to support only secure connection (https) by default.So above solution is temporary, and it is recommended .. 2017. 10. 26.
OAuth 에 대해 간단히 개념잡기 OAuth 에 대해 간단히 개념잡기 http://ko.wikipedia.org/wiki/OAuthhttp://d2.naver.com/helloworld/24942 -OAuth 가 사용되기 전에는 표준 인증방식이 없어 기본인증인 아이디와 비밀번호를 무조건 사용 -> 보안상 취약 -consumer secret : 서비스 제공자에서 소비자가 자신임을 인증하기 위한 키request token : user 가 service provider 에게 접근권한을 인증 받기 위해 필요한 정보가 담겨있으며 후에 access token 으로 변환access token : user 가 consumer ( oauth open api 를 사용하여 개발한 서비스 ) 를 통해 service provider 에게 접근하기 위한 키. -.. 2017. 6. 9.
[Server구축/Tutorial] 기본 정보들 [Server구축/Tutorial] 기본 정보들 -가상 호스팅 (virtual hosting) 이란? 한 물리적 서버에 여러 개의 도메인을 접속 가능하도록 운영하는 것을 가상 호스팅이라 한다. 웹 서버의 대부분은 가상 호스팅이다. -가상 호스팅을 위해 꼭 공부해야 하는 내용 도메인 - 네임서버 설정 사용자 계정 만들기 웹 서버 구축 MySQL DB 계정 설정 및 게시판 설치하기 메일 계정 설정 시스템 보안 개요 기타 필요한 사항 -서버 포트 정보 포트는 서버에 접속하는 문이라고 볼 수 있으며 65,536 개의 포트가 있다. 20/tcp, 21/tcp -> FTP 22/tcp -> SSH 23/tcp -> 텔넷 ( 암호화되지 않음 ) 25/tcp -> SMTP ( 이메일 보내기 ) 53/tcp -> DNS.. 2017. 5. 14.
반응형