소개글

iOS 어플을 해킹 후 결과보고서를 작성한 파일이며, 포트폴리오에 사용가능함

목차

1.개요
1.1.수행 대상
1.2.목적
1.3.수행 인력
1.4.진단 앱 소개
1.5.진단 도구
1.6.수행 항목
1.6.1.취약점 진단 목록
1.7.점검 기준
1.7.1.취약점 진단 기준

2.총평

3.상세결과
3.1.취약점 진단
3.1.1.Reverse Engineering
3.1.2.Data protection(Rest)
3.1.3.Data Protection(Transit)
3.1.4.Binary Patching
3.1.5.Authentication
3.1.6.Side Channel Data Leaks
3.1.7.URL Scheme Attack
3.1.8.Injection Flaws
3.1.9.Key Management

4.대응방안
4.1.취약점 보안 대책
4.1.1.Reverse Engineering
4.1.2.Data protection(REST)
4.1.3.Data protection(transit)
4.1.4.Binary Patching
4.1.5.Authentication
4.1.6.Side Channel Data Leaks
4.1.7.URL Scheme Attack
4.1.8.Injection Flaws
4.1.9.Key Management

본문내용

1. 개요
1.1. 수행 대상
[표 1] 수행 대상
대상
iGoat.ipa
구 분
앱 어플리케이션

1.2. 목적
취약점 진단 항목을 기반으로 IOS 애플리케이션의 취약점 진단을 통해 IOS의 전반적인 이해를 걸쳐 취약점이 발견될 시 이에 맞는 보호 대책을 수립하고자 보고서를 작성했다.

<중 략>

3. 상세결과
3.1. 취약점 진단
3.1.1. Reverse Engineering
3.1.1.1. String Analysis
[표 6] 리버스엔지니어링 실습
개요: 바이너리 파일 내부를 정적 분석하여 속담 문제를 해결하는 과정
이번 파트는 리버스엔지니어링을 통해 컴파일 된 문자열 분석을 수행하는 것이다. 어플리케이션의 바이너리 내에 위치한 비밀정보를 추출하기 위해 앞서 로직을 확인했다.

[그림 1] 오답 확인

iGoat의 로컬 서버를 실행시킨 후 일반적인 답변을 했을 때, 올바르지 않다는 알림 창을 확인했다. 이 수수께기를 풀기 위해 문자열 분석이 필요했고, 소스코드를 정적 분석했다. 해당 프로젝트는 소스코드를 지원받았기 때문에 복호화 과정은 생략 후 IDA2 도구를 통해 로직을 확인했다.

참고 자료

없음