하드코드 된 중요 정보

하드코드 된 중요 정보

• 어떤 데이터가 코드내에 그대로 입력된 것을 하드 코딩되었다고 한다.
• 중요 정보가 소스코드에 그대로 노출되어 있다면 소스코드 노출 시 중요 정보가 그대로 제 3자에게 노출될 가능성이 있다.
• 개발 시 개발자가 편의를 위하여 입력 받아야 할 정보를 소스코드 내에 바로 입력함으로써 실행 시 UI상에서 입력하지 않고 바로 실행하도록 하는 것도 하드 코딩된 취약점 중하나이다.
• 인시큐어뱅크 앱에서는 총 3곳에서 하드코딩 된 취약점을 발견할 수 있다.

진단방법

• 코드 분석 시 암호화 클래스 부분을 상세 분석하도록 한다.
• 중요 정보 문자열 검색을 통해 검토 및 조치한다.

하드 코딩된 키

하드 코딩된 특정 사용자의 비밀번호

대응방법

• 중요정보가 하드코딩 되지 않도록 코드를 지우거나 중요정보가 동적으로 생성될 수 있도록 조치하도록 한다.