Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
Tags
- 자산추적
- 보안제품개발
- FlagOneLoginActivity
- 비트코인
- BOB10기합격후기
- 블록체인
- BOB후기
- jadx
- AndroGoat
- smali
- XSS
- injuredandroid.apk
- apk easy tool
- golang
- BOB면접
- injuredandroid
- NOX
- 안드로이드 앱 진단 환경설정
- BOB 합격후기
- FlagTwoActivity
- bitcoin
- 솔루션개발
- blockchain
- Burp Suite
- Frida
- Burp Suite CA
- SlubBackdoor #응용 #악성코드 #악성코드_제작 #Python #깃허브를_이용한_악성코드
- 앱변조
- UTXO
- BOB10기
Archives
- Today
- Total
Kye0m's Security
[Diva] - Hardcoding issues(Part1) 본문
Hardcoding issues Part1
목적 : 하드코딩된 항목과 위치를 확인
힌트 : 개발자들은 때때로 민감한 정보를 하드코딩합니다.
문제풀이
jakhar.aseem.diva.HardcodeActivity 에 들어가보면
public void access(View view) {
EditText hckey = (EditText) findViewById(R.id.hcKey);
if (hckey.getText().toString().equals("하드코딩된 key값")) {
Toast.makeText(this, "Access granted! See you on the other side :)", 0).show();
} else {
Toast.makeText(this, "Access denied! See you in hell :D", 0).show();
}
}위와 같은 구문이 있다.
getText().toString()을 통해 값을 입력받고, "하드코딩된 key값"과 같은지 equals를 통해 비교한다.
개발자가 string값을 직접 하드코딩하였기 때문에, 위와 같은 코드 취약점이 발생하였다.
"하드코딩된 키 값"을 입력하고 ACCESS버튼을 누르면 성공적으로 문제를 풀 수 있다.
'앱 모의해킹 > Diva' 카테고리의 다른 글
| [Diva] Access control issues(Part3) (0) | 2022.10.02 |
|---|---|
| [Diva] Hardcoding issues(Part2) (0) | 2022.10.01 |
| [Diva] -Insecure Logging (1) | 2022.09.29 |
'앱 모의해킹/Diva' Related Articles
more
