파라미터 조작
- 서버와 클라이언트 통신 과정 중 사용되는 변수들을 중간에서 변조할 수 있는 취약점
- 통신 과정에 사용되는 파라미터를 조작함으로써 부당이득을 취하거나 인증을 우회할 수 있음.
진단방법
- 안드로이드 단말기에 프록시 설정
- HTTP 프록시로 외부 단말기에 의해 접속될 수 있도록 설정
- 안드로이드 단말기에서 앱을 실행하여 통신 과정 중 사용되는 패킷 캡처
- HTTP 프록시를 사용하여 진단
틀린 패스워드를 입력했을 때 서버 응답 후 전송된 패킷
Correct Credentials 로 패킷 변조 후 패킷 전송
로그인 인증이 되어야 이동 가능한 액티비티로 이동 가능
대응방안
- 파라미터를 암호화하여 중요한 파라미터에 대해 조작 불가능 하도록 조치
easy_install http://www.voidspace.org.uk/python/pycrypto-2.6.1/pycrpto-2.6.1.win32-py2.7.exe
서버에서 복호화 과정 추가
- 타임스탬프 / nonce를 추가하여 Replay Attack과 같은 패킷의 재사용을 못하도록 조치
'인시큐어뱅크 활용 안드로이드 모의해킹 공부' 카테고리의 다른 글
| 중요 정보 메모리 노출 취약점 (0) | 2020.12.22 |
|---|---|
| 취약한 비밀번호 변경 로직 (0) | 2020.12.22 |
| 루트 노출 및 우회 취약점 (0) | 2020.12.22 |
| 개발자 백도어 취약점 (0) | 2020.12.22 |
| 애플리케이션 패칭 취약점 (0) | 2020.12.22 |