개발자 백도어 취약점
- 개발 단계 시 개발자가 편의를 위해 개발자 자신만이 들어갈 수 있는 계정이나 인증 우회 방법을 말한다.
- 주로 개발단계 시 사용하지만 잘못된 빌드 프로세스로 배포용 어플리케이션 또는 서버에 개발백도어 코드가 삽입되면 보안에 중대한 취약점이 발생한다.
진단 방법
- 클라이언트 부분에서 로그인 부분의 소스코드를 상세 분석
유저 이름이 devadmin이면 /devlogin 으로 접속
패스워드에 관계없이 로그인 성공, 클라이언트단에서 인증을 우회하면 아이디가 devadmin이 아니더라도 /devlogin에 접속 시 로그인 성공
- 서버 부분에서 로그인 처리 부분의 소스코드를 상세 분석
- 코드 분석을 바탕으로 백도어 사용 후 검증
대응방안
- 배포용 어플리케이션 빌드 전 개발 백도어 코드 제거
- 서버 어플리케이션 배포 전 개발 백도어 코드 제거
'인시큐어뱅크 활용 안드로이드 모의해킹 공부' 카테고리의 다른 글
| 파라미터 조작 (0) | 2020.12.22 |
|---|---|
| 루트 노출 및 우회 취약점 (0) | 2020.12.22 |
| 애플리케이션 패칭 취약점 (0) | 2020.12.22 |
| 안드로이드 페이스트보드 취약점 (0) | 2020.12.22 |
| 취약한 로깅 메커니즘 (0) | 2020.12.22 |