1. Manifest 확인
더보기
apktool 또는 jadx 와 같은 디컴파일 도구를 이용해 Manifest 파일을 확인합니다.
2. Activity 확인
# 검색 문자열
exported="true"
# 결과
Activity_1
name : com.android.insecurebankv2.PostLogin
Activity_2
name : com.android.insecurebankv2.DoTransfer
Activity_3
com.android.insecurebankv2.ViewStatement
Activity_4
com.android.insecurebankv2.ChangePassword외부에서 접근 가능한 Activity 가 존재하는지 확인하고
해당 Activity의 이름을 기록합니다.
3. Activity 직접 접근
# 패키지명 : com.android.insecurebankv2
am start -n [패키지명]/[Activity 이름]
# am start -n com.android.insecurebankv2/com.android.insecurebankv2.DoTransferadb 를 이용해 해당 Activity에 직접 접근을 시도합니다.
로그인 없이 송금화면으로 직접 접근이 가능한 모습을 확인할 수 있습니다.
※ 포인트 : 인증이 필요한(인증 후 접근 가능한) Activity(민감 기능 및 화면)에 외부 호출 허용(exported="true") 설정이 되어 있는지 확인하고 접근해 보기
'Android' 카테고리의 다른 글
| [Android] 메모리 내 중요정보 노출(with. Manifest 패치) (0) | 2025.05.27 |
|---|---|
| [Android] 프로그램 무결성 검증 (0) | 2025.05.22 |
| [Android] 앱 소스코드 내 운영정보 노출 (0) | 2025.05.20 |
| [Android] 소스코드 난독화 적용 여부 (0) | 2025.05.20 |
| [Android] 단말기 내 중요정보 저장 여부 (0) | 2025.05.16 |
