본문 바로가기
#3 취약점 항목별 상세 실습 part 1. - 안드로이드 모바일 앱 모의해킹 3.1. 브로드캐스트 리시버 결함 3.1.1. 취약점 소개 -악의적인 목적을 갖고 수행하는 경우에는 사용자가 받는 알림을 중간에서 가로채는 행위를 할 수 있으며, 특정한 상황에서만 발생하는 작업을 우회하여 수행하도록 조작할 수 있다. 3.1.2. 취약점 진단 과정 * ADB를 이용한 브로드캐스트 생성 -> am broadcast -a actionName -n pkgName/className —es stringExtraKey stringValue * 드로저를 이용한 브로드캐스트 생성 -dz> run app.package.attacksurface pkgName// exported 된 component 들이 결과값으로 나온다. -dz> run app.broadcast.info -a pkgName// pkgNa.. 2020. 11. 20.
[android] CONNECTIVITY_ACTION deprecated 에 대한 이야기 - Connectivity 가 변경되었을 때 받을 수 있는 broadcast 는 ConnectivityManager.CONNECTIVITY_ACTION 가 있었다. 그러나 이 녀석은 API 28 (POS) 부터 deprecated 되었다. - 사실 이 녀석은 이미 deprecated 의 징조를 띄고 있었다. targetSdk 24 (NOS) 부터 static receiver 로 받을 수 없게 되었고, targetSdk 26 (OOS) 부터는 background restriction 정책으로 이 녀석을 포함한 다른 녀석들도 static receiver 로 받을 수 없게 되었다. 그리고 결국 API 28 (POS) 부터는 deprecated 된 것이다. deprecated 가 되었기 때문에 사실 target.. 2019. 4. 9.
[android] Google Play Service: Nearby Connections API [android] Google Play Service: Nearby Connections API https://code.tutsplus.com/tutorials/google-play-services-using-the-nearby-connections-api--cms-24534 -Google Play Service(이하 G.P.S) 에 있는 Nearby Connections API 를 이용하면,LAN ( Local Area Network ) 를 이용해 App 을 host 로 작동시키면서 여러개의 device 를 해당 host 에 연결시킬 수 있다. Use case 는 phone 을 android TV 에 연결해서 control 을 한다던지, Multi user 를 연결해서 game 을 한다던지 할 수 있겠.. 2019. 1. 28.
[android] Chrome Custom Tabs - 기존에 특정 web page 를 보여주기 위해서는 external browser 에 의존하거나 internal WebView 를 활용하는 방법만 있었다.external browser 는 많은 기능을 support 하며 state 를 share 한다는 장점이 있지만, context switch 적 성격이 강하며 customize 하기 어렵다.internal WebView 의 경우 반대로 context switch 적 성격이 약하고, customize 하기는 쉽지만, state 를 share 하지 못하고, standard 를 맞춰 support 하기 어렵워 많은 공수가 든다는 단점이 있다. external browser (chrome) 만큼의 호환성을 갖춘 “Custom Tabs” 라는 것이 suppor.. 2019. 1. 26.
[Facebook] Access Token, Permissions and Roles [Facebook] Access Token, Permissions and Roles https://developers.facebook.com/docs/facebook-login/access-tokens/https://developers.facebook.com/docs/facebook-login/access-tokens/expiration-and-extension -Facebook 로그인을 사용하여 앱에 연결하면, 앱에서 FB API 에 임시적인 Access Token 을 받을 수 있다.이 Token 에는 만료 시기와 토큰을 생성한 앱에 대한 정보가 있다.AccessToken 은 여러 API 를 통해 발급받을 수 있으며, Graph API 를 호출하는 데 사용된다. -AccessToken 은 다음의 유형이.. 2018. 2. 27.
[ios] 앱을 재설치 했을 때 Permission Check 를 기억하는 문제 해결 방법 [ios] 앱을 재설치 했을 때 Permission Check 를 기억하는 문제 해결 방법 첫번째 방법 1. 앱을 단말에서 지우고,2. 단말을 재부팅 한 후3. Settings > General > Date & Time 에서 날짜를 하루 이상 미래로 만들어라.4. 단말을 다시 재부팅 두번째 방법 Permission 기억은 번들 ID 기준으로 하기 때문에,bundle id 를 바꾸어 설치한다. 세번째 방법 가장 추천되는 방법은 이 세번째 방법!!Setting -> General -> Reset -> Reset Location & Privacy bundle id, date & time, GENERAL, permission, Reset, reset location & privacy, settings, [ios.. 2018. 2. 4.
[ios tutorial] Local Notification [ios tutorial] Local Notification -앱이 Foreground 상태가 아닐 때 사용자에게 어떤 정보를 알리기 위해 주로 사용한다.앱이 Foreground 상태일 때에는 Notification 이 표시되지 않고, Callback 을 받아 따로 처리해야 한다. -사용자는 Local Notification 과 Remote Notification (Push) 에 대한 차이를 알기 어렵다.둘 다 스크린상의 alert 나 banner, app badge, 사운드 등의 형태로 알람을 제공한다. Permission -iOS8 부터는 badge icons, alert message 표시, 소리 재생 등의 기능을 사용하기 위해서는 interaction type 을 등록 & User 의 Permis.. 2018. 1. 29.
[linux] uid, gid, 그리고 permission 에 대한 기본 지식 -$ ls - al permission owner group file name-rw-rw—— 1 tester tester 4096 2016-03-12 00:00 test.db 위와 같은 ls -al 실행 결과를 보면... Permission -첫칸은 d 혹은 - 로 표시된다.d 인 경우 디렉토리, - 인 경우 파일이다. -r 은 읽기, w 는 쓰기, x 는 실행권한을 의미 -두번째칸부터 3칸씩 묶어서 Owner, Group, Others 의 파일 사용 권한을 의미한다.위의 경우 owner 인 tester 가 rw 가능하고,tester 그룹에 대해서도 rw 가 가능하다.나머지 사용자(Others)들은 읽기, 쓰기, 실행 모두 할 수 없다. User 와 uid -user 마다 assign 되는 id 형태로 .. 2018. 1. 25.
[ios] 권장되는 permission guide [ios] 권장되는 permission guide http://techcrunch.com/2014/04/04/the-right-way-to-ask-users-for-ios-permissions/ -Pre-permission dialog 를 사용한다. iOS 의 permission 수락 다이어로그를 띄우기 전에 요청할 권한에 대해 설명하는 UI 를 가진 dialog 를 사용한다. -Double System-Style Dialog Pre-permission dialog 를 system style 로 만드는 것이 좋다. 친절한 설명이 곁들여진 곳에서 Access 를 허용한 후 실제 ios 에서 Don’t allow 를 선택한 경우는 3%. 두 번 물어보는 것이 짜증나는 액션일 수는 있지만, 확실하게 allow.. 2017. 10. 11.
반응형