| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
Tags
- 안드로이드 모의해킹
- pentest
- time-based
- Linux
- sql injection
- msfconsole #heartbleed #247ctf #misc #webhacking
- Bandit
- bandit #밴딧 #웹해킹 #해킹 #화이트해커 #공부 #스터디 #IT #hacking #linux #openssl #nmap
- androGoat
- 쿠키변조
- 모의해킹
- 밴딧
- error-based
- 리눅스
- 취약점 진단
- androidhacking
Archives
- Today
- Total
d0r1
[androgoat] Input Validations 본문
1. Input Validations - XSS
XSS에 대한 내용이다
기본적으로 웹 진단할때와 동일하게 xss 구문을 입력하면 문제는 풀린다
| <script>alert(1)</script> |
2. Input Validations - SQL injection
이 또한, 앞서 XSS 문제와 동일하게, 웹 진단을 할 때 사용한 구문을 가져와서 사용하면 된다.
우선, Insecure Storage - SQLite에서 계정을 여러개 만들어야 모든 유저가 출력되는지 확인할 수 있기에
먼저 유저를 여러개 생성해주고 실습을 진행하여야 결과가 눈에 보인다
| ' or 1=1-- |
3. Input Validations - WEBVIEW
url 요청을 통해, 민감한 정보에 접근을 하라고 합니다
확인해보면, javascriptenabled에 의해 웹사이트에서 자바스크립트를 사용할 수 있게 해주고
텍스트를 가져와서 url로 변환하고 있음을 확인할 수 있습니다.
| file:///data/data/owasp.sat.agoat/shared_prefs/users.xml |
다음과 같은 명령어를 통해, 민감한 정보인 users의 정보를 가져올 수 있습니다.
'모바일 진단 > Android' 카테고리의 다른 글
| [androgoat] HardCode Issue (0) | 2023.10.25 |
|---|---|
| [androgoat] side channel data leakage (0) | 2023.10.24 |
| [androgoat] Insecure Data Storage (0) | 2023.10.23 |
| [DROZER] 설치 (0) | 2023.10.20 |
| [androgoat] HTTP/HTTPS (0) | 2023.10.20 |
'모바일 진단/Android' Related Articles
more
