패스워드 변경 과정에서 발생
개발자의 실수로 불필요한 로그를 남겨 패스워드를 노출하는 취약점
중요 정보 및 민감정보가 대량으로 노출되는 취약점이 존재
취약점 진단 과정
- 정상적으로 로그인 후 비밀번호 변경 클릭
- P@ssw0rd로 변경 시도, 일단 여기서 비밀번호 평문 노출되는 취약점 발견
- 비밀번호 변경 성공 확인
- 서버에서도 비밀번호 평문으로 확인 가능
- 암호화와 관련한 로직이 없어서 생기는 문제로 중요 정보는 노출되지 않게 처리하는 것이 중요
취약점 대응 방안
- 암호화가 되지 않은 형태로 저장하는 것은 인증 우회가 가능하므로 주의 필요
- 높은 수준의 암호화 알고리즘 사용하는 것이 중요하며 쉽게 접근할 수 없는 저장소나 암호화된 상태로 저장해야 함
'정보보안 > 안드로이드해킹' 카테고리의 다른 글
| 안드로이드 모의해킹) 개발자 백도어 (0) | 2020.12.03 |
|---|---|
| 안드로이드 모의해킹) 사용자 정보 목록화 이슈 (0) | 2020.12.03 |
| 안드로이드 모의해킹) 하드코딩 보안 (0) | 2020.12.02 |
| 안드로이드 모의해킹) 인자 전달값 조작 (0) | 2020.12.02 |
| 안드로이드 모의해킹) 안전하지 않은 HTTP 통신 (0) | 2020.11.30 |
댓글