1. Fuzzing Fuzzing: 랜덤한 인풋을 생성하여 프로그램의 버그를 찾는 기술 BFF - Black box fuzzer의 일종 - Basic Fuzzing Framework - 시드를 제공하고 간단한 설정 파일을 건드리는 것만으로도 퍼저를 돌릴 수 있음. - 국내 소프트웨어 32개를 대상으로 퍼저를 대략 1일 정도 돌린 결과 총 25개의 프로그램에서 유의미한 crash를 찾을 수 있었음. 이 crash들을 분석해 Buffer Overflow, Integer Overflow, Double free등의 취약점을 확인함. AFL - Coverage based fuzzer의 일종 - Code coverage를 이용하여 input을 smart하게 생성 - GUI 프로그램은 종료 시점이 정해져 있지 않기 ..

1. 취약점 분석 계획 2020년 안드로이드 어플리케이션 취약점 Top 7 중 루팅 탐지 우회, 딥 링크, 사용자 열거 취약점을 선정하여 진행함. 2. 환경 구성 InsecureBank: 루팅 탐지 우회, 사용자 열거 취약점 UserEnumeration: 사용자 열거 테스트 Uncrackable: 루팅 탐지 테스트 DeepLinkExample: 해외 문서의 예제 InjuredAndroid: 딥 링크 3. Brute Force User Enumeration (사용자 열거 취약점) 취약점 개요 - 무차별 대입 공격을 통해 사용자 열거가 가능한 취약점. - 해당 사용자 계정의 이름 혹은 아이디 등이 존재하는지 목록화 하는 것이 특징. - 앱뿐만 아니라 웹 등에서도 발생 가능. - 아이디 또는 패스워드를 입력할..