yyyyss

하드코딩된 중요 정보에 대한 취약점 진단은 소스코드에서 식별 가능한 중요 정보를 진단자가 직접 판단하는 과정이다.이 방법은 기술적으로 복잡한 건 아니지만 소스코드가 많은 앱이라면 시간이 많이 걸릴 수 있다. 그래서 이번엔 하드코딩된 정보를 진단하기 위해서 도구를 사용해 볼 것이다. 자바 코드 내에서 하드코딩된 정보 진단https://github.com/skylot/jadx/releases Releases · skylot/jadxDex to Java decompiler. Contribute to skylot/jadx development by creating an account on GitHub.github.com위의 링크에서 다운로드해주면 된다. 다운로드가 완료됐다면 jdax-gui를 실행시키자.여기서 ..

이번에는 설치한 DIVA앱에 대한 정적분석을 해볼 것이다.정적분석을 하기 전에 간단하게 용어를 정리하고 가보자. 정적분석안드로이드 앱에서 정적 분석은 앱의 실행 없이 소스 코드나 바이너리 파일을 분석하여 코드 품질, 보안 취약점, 성능 문제 등을 파악하는 과정이다. 코딩 에러는 앱 취약점을 유발하는 주요 원인이기 때문에 정적분석 단계에서 다양한 취약점을 찾아내는 것이 중요하다. 컴파일과 디컴파일컴파일 : 안드로이드 앱을 개발한 소스코드를 기계어로 변환하는 과정이다. 디컴파일 : 컴파일의 반대 과정이다.파일은 분석할때 앱의 원래 코드가 아닌 컴파일된 기계어 코드만 확인할 수 있기 때문에 디컴파일 과정을 거쳐서 앱을 분석하게 된다. 디컴파일된 코드는 개발할 때 작성한 코드와 다른 모습인 경우가 많기 때문에 ..