해결된 질문
작성
·
324
0
(1)
dev 문자열 검색으로 개발및 테스트 서버 주소가 확인될때 취약점으로 잡는다고 이야기 해주셨습니다.
대응방안으로는 하드코딩된 테스트및 개발 서버 주소및 테스트 코드 삭제가 최선의 방법이겠죠?
(2)
안드로이드의 경우 디컴파일해서 자바소스가 난독화 되지 않을경우 취약점으로 잡고 있습니다.
iOS의 경우 기드라의 디컴파일뷰에 소스코드가 확인되는데
안드로이드와 똑같이 난독화 취약점으로 잡아야 하나요?
iOS의 무료 난독화툴을 알고 싶습니다.
(3)
오픈소스등 다른곳에서 제공되는 암호화 복호화 모듈이 디컴파일을 통해 확인이 될때 취약점으로 잡아야 할까요?
진단 기간내에 복호화 되는지 테스트를 해보았지만 간단하게 복호화 되지는 않았습니다. 진단 시간이 충분하게 주어진다면 복호화 되지 않을까 라는 생각이 들기도 합니다. (확률은 50%정도)
답변 2
0
0
안녕하세요. 보안프로젝트 김태영입니다.
.
(1) 맞습니다. 대응방안으로 하드코딩된 정보를 삭제하는 것이 가장 좋습니다.
.
(2) 진단 리스트에 난독화 여부에 대한 항목이 있다면, 취약점으로 잡아야 합니다.
iOS 오픈소스 난독화 도구와 관련한 좋은 정보가 있어 링크 남겨드립니다.
- https://www.polidea.com/blog/open-source-code-obfuscation-tool-for-protecting-ios-apps/
- https://github.com/Polidea/SiriusObfuscator
.
(3) 복호화 모듈이 노출이 되지만 복호화 테스트가 이루어지지 않을 때는
"복호화 모듈로 추측되는 부분이 노출되고 있어 해당 부분이 복호화 모듈로 사용된다면 조치해야 합니다."라고
가이드하는 것을 추천드립니다.
.
감사합니다.