반응형
DIVA 앱에서 Insecure Data Storage - Part2 를 선택하면 계정 정보 입력 창이 나온다.
아이디와 패스워드를 넣고 저장 버튼을 누르면 계정 정보들이 앱 내부 저장소에 저장된다.
소스코드를 보면 "ids2"라는 데이터베이스를 생성 후 "myuser"라는 테이블을 추가한다.
그리고 사용자의 입력값을 해당 테이블에 삽입한다.
계정 정보가 저장되는 코드에는 암호화 없이 평문으로 저장하고 있다.
adb shell에서 해당 앱의 databases 폴더를 조회했을 때 입력한 값이 저장되는 db 파일들이 존재하며
방금 확인한 ids2 파일에 계정 정보가 저장된다.
sqlite3에서 ids2 파일의 테이블을 조회하면 사용자가 입력한 로그인 정보를 확인할 수 있다.
반응형
'해킹-보안 > 모바일' 카테고리의 다른 글
| IOS 앱 개념 정리 (기본 인터페이스 및 Lifecycle) (0) | 2021.12.15 |
|---|---|
| 안드로이드 앱 개념 정리(4대 컴포넌트, Lifecycle) (0) | 2021.12.15 |
| 루팅 탐지 우회 (0) | 2020.12.09 |
| 브로드캐스트 리시버 취약점 (0) | 2020.12.07 |
| 취약한 콘텐츠 프로바이더 접근 (0) | 2020.12.07 |
