1 InsecureBankv2 앱 구동 (1) 안드로이드 스튜디오를 실행시킨 후, 안드로이드 가상 디바이스 (AVD)를 띄운다. 안드로이드 스튜디오에서 InsecureBankv2 프로젝트를 빌드한다. AVD상에 InsecureBankv2 앱을 설치한 후 구동시킨다. 그리고 InsecureBankv2 앱에 대한 로그인(아이디:dinesh, 패스워드: Dinesh@123$)까지 완료한다. https://apkpure.com/kr/clipper-clipboard-manager/org.rojekti.clipper 사이트에서 Clipper Clipboard Manager_v2.4.17_apkpure.com.apk 파일을 다운로드 받은 후에 해당 파일의 이름을 Clipper_Clipboard_Manager_v2.4..
1 adb를 이용한 안전하지 않은 로깅 메커니즘 분석 (1) 다음의 logcat 명령어를 PowerShell 상에서 수행하면 많은 수의 로그 메시지를 볼 수 있다. adb logcat (2) 로그인 된 InsecureBankv2 앱에서 Transfer 기능을 수행한다. (3) (2)번 수행 후, 로그 정보 중에서 System.out 태그 중에 Information 관련 내용만 출력하기 위해서, 다음의 명령어를 PowerShell 상에서 수행한다. (s의 의미는 silent) adb logcat –s System.out:I (4) (3)번 수행 후 화면에 출력되는 내용 중 Transfer와 연관된 로그 메시지를 분석한다 계좌 이체 성공/실패/시각 계좌 송수신자 계좌 내역 2 adb를 이용한 안전하지 않은 ..
1 메모리내 민감한 정보 저장 취약점 분석 (1) 다음과 같은 명령어를 PowerShell에서 차례대로 실행한다. adb root adb shell (2) 위의 명령어들은 adb 상에서 루트 권한으로 쉘 명령어를 실행할 수 있게 한다. (3) InsecureBankv2 앱의 PID를 알아내기 위해 adb 프롬프트 (generic_x86_64:/ #) 상에서 다음의 명령어를 실행한다. ps -ef | grep inse (4) InsecureBankv2 앱의 Get Account나 Transfer 기능을 이용해서 이체를 수행한다. (5) adb 프롬프트 (generic_x86_64:/ #) 상에서 아래의 명령어를 실행하여 InsecureBankv2 앱의 힙 메모리 영역 내용을 /data/local/tmp/i..
1 InsecureBankv2의 LoginActivity.java 파일 분석 (1) 아이디를 Base64로 디코드 protected void fillData() throws UnsupportedEncodingException, InvalidKeyException, NoSuchAlgorithmException, NoSuchPaddingException, InvalidAlgorithmParameterException, IllegalBlockSizeException, BadPaddingException { //TODO Auto-generated method stub SharedPreferences settings = getSharedPreferences(MYPREFS, 0); final String usern..
