상세 컨텐츠

본문 제목

[Android Reversing] Insecure Logging mechanism (InsecureBankv2, 로깅 취약점)

REVERSING/Android

by koharin 2021. 7. 6. 22:59

본문

728x90
반응형

decompile using dex2jar


$ dex2jar-2.0\d2j-dex2jar.bat Android-InsecureBankv2\InsecureBankv2.apk

Java 코드를 보기 위해 dex2jar로 디컴파일

 

 

Vulnerability


DoLogin.class

로그인 성공 시 username과 password를 로깅한다.

다른 java 코드에는 로깅하는 코드가 없다.

 

 

Exploit


log 확인

adb -s emulator-5554 logcat

민감한 정보(password), 계좌이체 정보를 확인할 수 있다.

 

728x90
반응형

관련글 더보기