안드로이드

데이터 정적분석 (SQL LITE(DB), logcatFilter, 데이터 검색)

우와해커 2018. 3. 22. 14:34

소스보는 노하우

 

1. 3rd-party 나 프레임웍, 기타 라이브러리는 제낌 -> com.xxxx


co.kr 밑에 고객사가 만든 소스만 볼것

 

2. 반드시 봐야할 소스들

 

로그인, 설정파일(DB)

디버깅정보: debug
테스트코드: test
개발서버연동: devel dev
하드코딩된값 : key private admin


뭘 해킹했을때 고객사가 좋아할까~ => 중요자산

사용자 : 회원정보(개인정보) -> 이력서
회사 : 회원정보, 결제

 

SQL LITE (DB)

 

find ./ -name *sql*

 

툴: sqllitespy 공부할 ㄱ

 

 

민감한 데이터 검색

 


앱하나에서 저장되는 위치는 크게 3군데


A. App 자체 : Read-only 고 이건 볼필요 없음
B. 자체데이타 : /data/data/ (다른앱에서 접근불가능)
C. 공유데이타 : 소스를 보시던지..find로 찾던지..


/data/data/com......

ls -lan /data/data/com.....
 find /data -user 10129



Astrogrep문자열 검색 및 아래 디렉터리 확인

 

/data/data

/data/app

/data/dalvik-cache

/system/....

/sdcard/.....

 

https://noorol.blog.me/221233869471

 


로그 모니터링 (LogcatFilter)


- ADB 연결 후 앱 자유롭게 사용

- 로그에 민감한 정보 출력되는지 체크

- println(), log.d(), log.e(), log.d*(, log.e() 함수들의 존재 및 로그에 식별되는 민감한 정보 확인

  로그를 남기는 함수는 로그유형에 따라 Log.d(),e(),w(),l(),i(),v() 등이 존재함

 

http://cafe.naver.com/LogcatFilter