소개글

iOS드 어플을 해킹 후 결과보고서를 작성한 파일이며, 포트폴리오에 사용가능함

목차

1.개요
1.1.수행 대상
1.2.목적
1.3.수행 인력
1.4.수행 항목
1.4.1.취약점 진단 목록
1.5.점검 기준
1.5.1.취약점 진단 기준
1.5.2.중요도 산정 기준

2.총평

3.상세결과
3.1.(1) DVIA.ipa 취약점 진단
3.1.1.불충분한 전송 계층 보호
3.1.2.안전하지 않은 데이터 저장
3.1.3.의도치 않은 데이터 유출
3.1.4.클라이언트 측 공격
3.1.5.신뢰할 수 없는 입력을 통한 보안결정
3.1.6.부적절한 바이너리 처리
3.2.(2) MYRIAM.ipa 애플리케이션 취약점 진단
3.2.1.탈옥 탐지 우회
3.2.2.인증 우회
3.2.3.활동 우회
3.2.4.앱 내부 리소스 변경

4.대응방안
4.1.취약점 보안 대책
4.1.1.불충분한 전송 계층 보호
4.1.2.안전하지 않은 데이터 저장
4.1.3.의도치 않은 데이터 유출
4.1.4.클라이언트 측 공격
4.1.5.신뢰할 수 없는 입력을 통한 보안결정
4.1.6.부적절한 바이너리 처리

5.참고

본문내용

1. 개요
1.1. 수행 대상
[표 1] 수행 대상
대상/ 구분
DVIA(v1.0).ipa 앱 어플리케이션
Myriam Beta 4.0.ipa 앱 어플리케이션

1.2. 목적
취약점 진단 항목을 기반으로 iOS 앱 애플리케이션의 취약점 진단을 통해 iOS의 전반적인 이해를 걸쳐 취약점이 발견될 시 이에 맞는 보호 대책을 수립하고자 보고서를 작성하였다.

<중 략>

1.4. 수행 항목
1.4.1. 취약점 진단 목록
1. 불충분한 전송 계층 보호
: 데이터 통신과정에서 전송 정보가 평문으로 노출되어 조작가능한 취약점.
2. 안전하지 않은 데이터 저장
: 데이터가 평문으로 저장되는 로직으로 사용자의 개인정보 노출 가능한 취약점.
3. 의도치 않은 데이터 유출
: 어플리케이션 구현 과정이 불완전하여 데이터가 유출되는 취약점.
4. 취약한 암호화 사용
: 취약한 암호화 알고리즘으로 중요정보가 암호화 되어있어도 쉽게 해독되는 취약점.
5. 클라이언트 측 공격
: XSS 공격방법으로 사용자 정보를 가로챌 수 있는 취약점.
6. 신뢰할 수 없는 입력을 통한 보안결정
: 어플리케이션이나 프로세스 간 통신 시 발생가능한 취약점.
7. 부적절한 바이너리 처리
: 데이터 무결성 및 탈옥 그리고 런타임 조작이 가능한 취약점.

<중 략>

3. 상세결과
3.1. (1) DVIA 어플리케이션 취약점 진단
3.1.1. 불충분한 전송 계층 보호
[표 7] 불충분한 전송 계층 보호 진단 개요
분류: M3 (취약한 통신)
개요: 데이터 송수신 중 평문 노출
설명: HTTP 프로토콜을 이용해 주요정보를 평문으로 전송하거나, GET 방식을 통해 외부자에게 유출될 수 있는 취약점으로 네트워크 스니핑 또는 중간자 공격을 통해 주요정보가 제3자에게 노출될 수 있는 취약점이다.
발생위치: DVIA > Transport Layer Protection

참고 자료

금융부문 스마트폰 보안가이드
스마트폰 전자금융서비스 보안 가이드(최종본)
㈜시큐러스 | 웹취약점 분석 및 진단
㈜케이씨에이 | 웹취약점진단/모의해킹
모바일 대민서비스 보안취약점 점검 가이드 (2014)
OWASP TOP 10 (2016, https://www.owasp.org/index.php/OWASP_Mobile_Security_Project)
크로스 사이트 스크립팅 공격 종류 및 대응 방법 - KISA