하드코딩 : 객체를 사용하지 않고는 코드를 재사용할 수 없도록 코드 안에 어떤 의미를 갖는 변수를 상수로 사용하거나 코드를 다시 컴파일하지 않고서는 바꿀 수 없는 형태로 코딩하는 것을 말함
중요 정보를 주석으로 명시하거나 노출하면 쉽게 확인할 수 있음
네이티브 코드로 작성하더라도 리버스 엔지니어링을 통해 충분히 확인할 수 있기 때문에 주용한 정보는 하드코딩 안하는 것이 중요
- 취약점 진단 과정
- 코드 내부에 하드코딩된 퓌약점이 존재하면 원인 제거가 매우 어려움
- 인시큐어뱅크의 주석처리된 곳을 알아보기
- 안드로이드 스튜디오 실행 불가
- 실습 불가
- 취약점 대응 방안
- 주석 처리에 주의를 기울리기
- 암호화키의 경우 절대 상수로 명시하면 안 되며 솔트를 사용하여 암호화의 안정성을 높이는 것이 중요
- 고정된 값이나 특정한 값을 재사용해서는 안됨
'정보보안 > 안드로이드해킹' 카테고리의 다른 글
| 안드로이드 모의해킹) 개발자 백도어 (0) | 2020.12.03 |
|---|---|
| 안드로이드 모의해킹) 사용자 정보 목록화 이슈 (0) | 2020.12.03 |
| 안드로이드 모의해킹) 인자 전달값 조작 (0) | 2020.12.02 |
| 안드로이드 모의해킹) 안전하지 않은 HTTP 통신 (0) | 2020.11.30 |
| 안드로이드 모의해킹) 안전하지 않은 SD카드 저장소 (0) | 2020.11.26 |
댓글