> 사이트 번역 더보기 해당 문제의 소스코드를 보면 gre 값을 %72%69%6D%62%61%75%64 값과 비교하는 것을 볼 수 있다. %72%69%6D%62%61%75%64 는 ASCII 값으로 추측된다. rimbaud 라는 문자열이 나온다. Épreuve 공간에 rimbaud 값을 넣어보았다. 그럼 암호가 맞다는 창이 뜬다. 정답 입력 공간에 다시 rimbaud 를 입력했다. 문제가 풀렸다.
사이트 번역 더보기 문제 화면 속에는 Accèder au niveau 링크가 보인다. 링크를 클릭하면 다른 페이지로 이동하여 패스워드 입력하는 창이 뜬다. 값을 잘못 입력하면 잘못된 비밀번호라는 알림창이 뜬다. 창을 닫고 해당 페이지의 소스코드를 확인해보았다. 입력한 패스워드 값이 hihi일 경우 올바른 패스워드라고 출력하는 것으로 보인다. 다시 패스워드 입력 창을 띄워서 hihi를 입력해보았다. 글자가 중간에 하나 깨진건지 모르겠지만 앞에서 본 문구가 출력되었다. Password accept챕, tu peux le valider 그런데 정답 입력공간에는 무엇을 넣으라는 말인지 모르겠다. 생각하다가 hihi를 입력했다. 문제가 풀렸다.
사이트 번역 더보기 문제의 내용은 아래 Épreuve 의 값을 알아내서 Validation 공간에 입력하는 것으로 보인다. 그러나 보통 이런 공간을 보면 입력해서 암호처리된 원을 평문으로 볼 수 있는 모양이 뜨지만 평문이 보이지 않는다. F12(개발자 도구)를 사용해서 확인해보았더니 값이 보였다. tresfacile 라는 값을 알아내었다. Validation 공간에 입력해보았다. 문제가 풀렸다.
코드 난독화 적용 안드로이드 앱은 자바를 기반으로 개발되어 APK 형태로 배포된다. C언어의 경우 일반적으로 EXE나 DLL 형태로 개발되기 때문에 앱에 대한 역공학이 어렵지만, 자바로 개발된 앱은 자바라는 언어의 특성상 클래스 파일로부터 바이트코드를 추출해 원본 코드로 디컴파일이 가능하다. 이런 구조적 문제로 인해 금융 앱과 같이 보안에 민감한 앱의 경우 보안상 치명적인 문제점을 드러낼 수 있다. 문제점을 해결하기 위해 애플리케이션 위변조 방지 기술 중 하나로 코드 난독화 기술이 존재한다. 코드 난독화는 역공학 시 프로그램 로직을 쉽게 판단하기 어렵게 코드를 꼬아 놓는 기술로, 앱에 대한 역공학을 수행하는 공격자가 역공학을 통해 원본 소스 코드를 유추하기 어렵게 만든다. 자바에서 주로 사용하는 난독화 ..
FindBugs/FindSecurityBugs FindBugs 란? FindBugs는 자바 코드에서 버그를 찾기 위한 정적 분석 도구이다. FindBugs에서 지원하는 플러그인 Eclipse NetBeans IntelliJ IDEA Gradle Hudson and Jenkins Android Studio FindBugs는 자바에서 발생할 수 있는 약 100여 개의 잠재적 위협을 탐지하여 각 위협을 Scariest, Scary, Troubling, Concernd의 4등급으로 구별하여 그 결과를 XML로 지원한다. FindBugs에서는 Bad practice, Correctness, Dodgy code, Experimental, Internationalization, Malicious code vulner..
PMD 활용 PMD 란? PMD는 정적 분석 도구로, 개발 과정에서 소프트웨어의 잠재적인 위협을 찾아주는 오픈소스 도구이다. PMD에서 지원하는 공식적인 플러그인 Maven PMD plugin Eclipse plugin NetBeans plugin JBuilder plugin JDeveloper plugin IntelliH IDEA plugin PMD에서 찾을 수 있는 잠재적인 문제점들의 유형 프로그래밍 결함 불필요한 객체 생성 사용하지 않는 코드 너무 복잡한 코드 중복된 코드 보안 결함 PMD의 동작 과정은 먼저 분석할 자바 프로그램을 읽어들인 후 파서를 이용해 AST를 생성하고 미리 정의된 룰셋에서 해당하는 위협들을 탐지해 보고서에 추가한다. PMD에서 지원하는 기본적인 룰셋의 일부는 아래와 같다. ..
시큐어코딩 개요 시큐어코딩 : 소프트웨어 개발 단계에서 보안 취약점을 사전에 제거하여 안전한 소프트웨어를 개발하는 코딩 기법 대부분 보안 취약점은 개발자의 미숙한 코딩에서 비롯되어 발생하며, 개발 단계에서 안전하게 개발한 경우 보안 취약점을 예방할 수 있다. 물론 프로그램 언어, 플랫폼적 문제, 소프트웨어 설계상의 문제로 인한 취약점도 있다. 개발 가이드는 다음과 같다. 국내 : 한국인터넷진흥원에서 발행하는 시큐어 코딩 관련 가이드 소프트웨어 개발 보안 가이드 JAVA 시큐어 코딩 가이드 C 시큐어 코딩 가이드 Android-Java 시큐어 코딩 가이드 국외 : CENT에서 발행한 CENT 표준 개발 가이드(CERT Coding Standatds) Andoid, C, C++, JAVA, Perl 등 그 ..
Androbugs를 활용한 앱 분석 Androbugs 프레임워크는 단일 앱의 취약점을 빠르게 분석할 수 있는 프레임워크이다. 파이썬 2.7.x 버전에서 PyMongo 라이브러리만 설치되면 간단하게 앱 진단이 가능하다. 현재 .exe 파일로 제공되어 파이썬 명령어 없이도 사용이 가능하다. 명령어 : androbugs.exe -f InsecureBankv2.apk https://github.com/AndroBugs/AndroBugs_Framework 아래 사진은 Androbugs 사용 화면이다. 결과 보고서는 Androbugs 폴더의 Reports 폴더에 생성되어 있다. Androbugs를 활용한 앱 분석 오탐 발생 혹은 검출 확률이 적을 수 있지만, 인시큐어뱅크 앱 분석 결과에서는 상세 분석 시 진행했던 ..
