스마트폰 어플리케이션 취약점 진단
서버와의 정보 연계 및 데이터 수집 등의 통신을 필요로하는 스마트 폰 앱 시스템 전체에 대한취약점 진단입니다.
- 특징
-
- ・어플리케이션의 소스 코드와 서버 API 쌍방의 취약점을 진단
- ・어플리케이션 소스 코드 제공없이 진단이 가능
- ・취약점 문제 개소의 특정과 긴급성을 시각화
진단 대상
스마트 폰 애플리케이션(iOS 및 Android)및 같은 어플리케이션과 통신 할 서버 API
진단 절차
스마트 폰 어플리케이션 : 소스 코드를 정적으로 확인하고 취약점을 발견
버 API : 외부에서 동적으로 취약점을 검증
진단 절차
서버, 어플리케이션 각각에 진단하고, 쌍방의 결과를 분석 · 통합하고 보고서를 작성합니다.
주요 진단 항목
| 인증 | Cookie의 취급에 관한 조사, 세션 ID 관한 조사, 크로스 사이트 요청 위조 |
|---|---|
| 入출력 처리 | 크로스 사이트 스크립팅, SQL 인젝션 명령 인젝션 디렉토리 탐색, 파일 업로드 매개 변수 추측 |
| 일반적인 취약점 | 알려진 소프트웨어 취약점 강제 브라우징, 디렉토리 목록 |
| Web 서버 설정 | 시스템 정보의 표시, 서버 오류 메시지 |
| 부정 통신 확인 | 외부 서버에 개인 정보 / 기밀 정보의 부정 전송 여부를 확인합니다. |
|---|---|
| HTTP 응답 진단 | 어플리케이션의 입력이되는 HTTP 응답을 캡처 변조하여 어플리케이션의 취약점 진단합니다. |
| HTTP 요청 진단 (Web API진단) |
일반 Web 어플리케이션 진단과 같은 내용입니다. 서버 측 취약점 진단합니다. |
| 단말기 내부 데이터의 미비 | 단말기 파일(Database, Preference 등 포함)에 비밀번호 나 개인 정보 등의 데이터를 평문으로 저장하고 있지 않은지 확인합니다. |
|---|---|
| 단말기에서 데이터 무단 변경 부정 행위 |
단말기 내부 데이터를 변조함에 따른 부정 행위 (치트, 잔액 위장, 구매 내역 위장 등) 여부를 확인합니다. |
| 권한 설정 미비 | 중요한 정보가 들어있는 파일이 다른 어플리케이션에서 액세스 할 수있는 권한이 있지 않은지 확인합니다. |
| SD 카드의 기밀 정보 출력 | 다른 어플리케이션에서 사용할 수있는 SD 카드 내에 개인 정보 / 기밀 정보를 저장 유무를 확인합니다. |
| 로그에 기밀 정보의 출력 | ロ그룹에 사용자의 개인 정보 / 기밀 정보의 출력 여부를 확인합니다. |
| 컨텐트 제공 업체에서의 액세스 제어 미비 |
개인 정보 / 기밀 정보에 액세스 할 수있는 컨텐트 제공 업체가 의도하지 않고 다른 어플리케이션에서 무단으로 액세스 할 수 있는지 확인합니다. |
| 변조 방지 확인 | 디컴파일 여부 및 난독화의 유무 등을 확인합니다. |
|---|---|
| 리버스 엔지니어링 에 의한 취약점 분석 |
리버스 엔지니어링에 의한 취약점 분석을 수행합니다. |
| 소스 코드에 기밀 정보의 출력 여부 | 디 컴파일 한 소스 코드 내에 암호화 키 및 숨겨진 기능 숨겨진 URL 등의 정보가 하드 코딩되어 있지 않은지 확인합니다. |
| 통신 프로토콜 분석 | HTTP 이외의 프로토콜을 사용하는 경우 분석하고 취약점 유무를 확인합니다. |
