짱짱해커가 되고 싶은 나

안녕하세요~ 이번에 가져온 교육 소식은 무려 '채용확정형 교육'입니다~! 정보보호 이상징후 탐지 및 대응 전문가 양성과정으로 8개의 채용협약기업에서 수료생을 정규직으로 채용하는 취업 연계 교육과정입니다. 무료 교육에 매월 훈련수당지급, 정규직 채용까지 ♨ 정보보호에 관심이 있고 취업을 준비하시는 분들이라면 7월 13일까지 꼭 지원해보시길 바랍니다 !! 🎇 ✔모집기간 : ~7.13(수) ✔교육기간 : 22.7~ 23.2(8개월간) ✔교육혜택 1. 전액무료교육 2. 매월 훈련수당지급 3. 자격증 취득비 지원 4. 참여기업 채용 연계 ✔교육장소 판교 정보보호 클러스터 / KISIA 한국정보보호교육원 교육장 ✔지원자격 34세 미만의 청년으로 즉시 취업연계가 가능한 자 ✔ 우대사항 정보보호 및 IT관련 전공자 자..

안녕하세요! 🤗 이번에 소개해 드릴 교육은 '정보보호제품 CC평가자 양성과정'입니다. 8월 1일부터 8월 12일까지 10일 동안 진행되며 전액 무료 교육으로 마지막 날 수습평가자 자격시험을 통과하면 수습평가자자격을 얻을 수 있습니다! 정보보호제품 CC 평가자를 희망하시는 분들이라면 무료 교육이기 때문에 좋은 기회가 될 것 같습니다 ㅎㅎ ◎교육기간 : 8월1일(월) ~ 8월12일(금) (총 10일간 진행) ◎신청기간 : ~7월8일(금) ◎신청방법 : 신청서 작성 후 이메일 제출(edu4security@kisia.or.kr) ◎교육특전 : 전액무료교육, 수습평가자격 위촉 등 자세한 내용은 아래 링크에서 확인하실 수 있습니다. 링크 : https://kisia.or.kr/talent_support/educat..

Web View 웹 뷰는 안드로이드에서 웹 브라우저에서 보이는 화면을 표시하거나 웹 앱 혹은 하이브리드 앱 개발에 사용한다. (하이브리드 앱은 네이티브 앱보다 개발 과정이 쉽고 기기 간 호환성을 해결하기 쉽다는 장점이 있다.) 안드로이드 내부 모듈인 웹킷 랜더링 엔진 사용 (js 지원) AndroidMainfest.xml) WebView 객체를 산언해서 사용 인시큐어뱅크 - Insecure Webview implementation AndroidMainfest.xml 현재 apk에 INTERNET 사용 권한이 설정되어 있는 것을 확인할 수 있다. MyWebViewClient WebView를 사용하는 곳을 찾아보니 다음과 같이 WebViewClient를 상속받는 MyWebViewClient 클래스를 선언하고..

콘텐츠 프로바이더 콘텐츠 프로바이더를 사용해 안드로이드는 자신의 데이터에 다른 apk가 접근하거나 부여한 권한대로 이용할 수 있도록 해준다. ex. DB, 파일 접근, IPC 역할 (다른 apk과 데이터 공유) -> 애플리케이션의 DB에 접근하는게 아니라 사용자가 원하는 항목에만 접근하도록 할 수 있음 AndroidMainfest.xml에 요소로 정의되며 Content Provider의 주소인 URI와 Content Resolver가 필요하다. (이 때 URI 형식은 content://authority/path 형식으로, content://로 시작하고 authority는 콘텐츠 프로바이더의 고유 주소, path는 데이터 위치에 대한 정보를 의미한다.) -> 취약하다면 공격자가 민감한 데이터에 접근해 조회..

에뮬레이터 탐지 및 우회 Nox 같은 에뮬레이터에서 앱을 실행 중인지 확인한다. 보통 에뮬레이터는 Fingerprint, Device, Model 등과 같은 기기 고유 값을 이용해서 에뮬레이터인지 판단한다. 우회하기 위해서는 smali 코드를 변조해주거나 frida를 통해 에뮬레이터 탐지 함수를 후킹하고 반환 값을 변조한다. 인시큐어뱅크 - Emulator Detection and Bypass 먼저 에뮬레이터와 관련된 코드가 있는지 확인했다. 코드 내에서 에뮬레이터를 탐지하는 코드는 확인하지 못했다.. 흠..

루팅(Rooting) 모바일 기기에서 구동되는 안드로이드 OS 상에서 최상의 권한 (root)을 얻음으로 해당 기기의 생산자/판매자 측에서 걸어 놓은 제약을 해제하는 행위 -> 루팅을 하면? 슈퍼 유저의 권한으로 하드웨어 성능 조작, 제조사 및 통신사 기본 apk 삭제, 시스템 권한을 이용한 디바이스 조작, 디바이스 내부 민감 정보 접근 등 가능 ps. 기본적으로 금융권 apk는 루팅된 기기에서의 앱 실행을 차단, 핀테크 기술을 제공하는 역시 루팅 허용 X 루트 노출 및 우회 취약점 안드로이드 보안상의 이유로 루트 권한을 막아 놓음 애플리케이션 실행 시 각 프로그램마다 권한 부여, 독립적으로 동작 -> 순정 안드로이드는 애플리케이션에서 할 수 있는 행위 제한 루팅 체크 주요 경로 /system/bin/s..

액티비티 액티비티는 AndroidMainfest.xml의 에 선언하며 하나의 앱은 하나 이상의 액티비티로 구성되어 있다. 이 중 하나의 액티비티를 MainActivity라고 하며 mainfest에 MainActivity로 선언한다. 각 액티비티는 독립적으로 동작하기 때문에 현재 액티비티에서 다음 액티비티를 실행이다. -> 액티비티가 취약하게 선언되어 있다면 로직을 무시하고 공격자가 강제로 특정 액티비티를 호출하거나 권한이 없는 사용자가 특정 액티비티에 접근해서 권한 없이 특정 기능을 활성화할 수 있다. 인시큐어뱅크 - Vulnerable Activity Components 3-3과 동일한 내용이다. AndroidMainfest.xml 로 선언되어 있으며 exported=true가 되어 있는 것들이 있다...

SharedPreferences 안드로이드 애플리케이션에서 해당 프로그램 내에 파일 형태로 데이터를 저장하고 삭제하기 전까지 그 내용을 유지할 수 있다. SharedPreferences는 초기 설정값, 자동 로그인 등 간단한 환경 변수를 앱의 저장 공간 아에 파일 형태로 저장한다. (별도로 삭제하지 않는 이상 재부팅되더라도 값 유지) -> 편집하기 위해서는 SharedPreferences.Editor 인터페이스에 포함되어 있는 메서드를 사용해야함 putBoolean(String key, boolean value) : boolean 값을 키 값으로 지정 putFloat() putInt putLong putString putStringSet(String key, Set values) Apply.commit(..