뉴비에욤
11번째 문제, "ACCESS CONTROL ISSUES - PART3"을 클릭한다. 목표를 보면 PIN을 설정하고 해당 PIN을 이용해야만 개인 노트에 접근할 수 있는데, 우리는 PIN을 알 지 못하는 상태에서 개인 노트에 접근을 해야 한다. 일단 임의의 PIN 코드를 생성하면 위 사진과 같이 성공 메시지가 나타난다. 개인 노트 내용을 알아보기 위해 "GO TO PRIVATE NOTES"를 클릭한다. 이전에 생성한 PIN을 입력한다. 개인 노트 내용은 위 사진과 같다. Manifest.xml 파일을 보면 위 사진과 같이 provider가 exported=true 상태임을 볼 수 있다. 따라서 우리는 provider의 정확한 경로만 알면 앱을 실행하지 않고 해당 내용을 볼 수 있다. diva apk를 a..
10번 문제, "10. ACCESS CONTROL ISSUES - PART 2"를 클릭한다. 목표를 보면 Tveeter에 등록을 하고 나면 TVEETER API 자격 증명을 얻을 수 있다고 한다. 이 앱은 온라인 등록을 해야 하는데, 벤더가 핀 코드를 주면 해당 핀 코드를 이용해서 등록해야 한다.우리의 목표는 핀 코드를 모르는 상태에서 앱 바깥에서 API 자격 증명을 얻는 것으로, 비즈니즈 로직 문제이기 때문에 코드를 봐야한다고 한다. Register Now를 선택하고 VIEW TVEETER API CREDENTIALS 버튼을 클릭한다. 등록을 시도하면 핀 코드를 입력하라고 한다. 임의의 핀 코드를 입력하면 잘못된 코드라는 메시지가 나타난다. Already Registered를 선택하고 API 자격 증명..
9 번째 문제, "9. ACCESS CONTROL ISSUES - PART 1"을 클릭한다. 목표를 보면 버튼을 클릭할 때 API 자격 증명을 접근할 수 있는데 앱을 실행하지 않고 해당 자격 증명에 접근해야 한다. API 자격 증명을 보면 위 사진과 같다. APK. 파일의 Manifest.xml 파일을 보면 위 사진과 같은데, activity는 intent-filter로 보호 된 것을 볼 수 있다. 그러나 절대 intenet-filter를 보호 메커니즘으로 사용하면 안 된다. intent-filter가 activity와 같은 어플리케이션 컴포넌트에 쓰였을 때 해당 컴포넌트는 공개적으로 export 되기 때문에 임의로 접근할 수 있게 되어 진다. * 인텐트 필터와 구성 요소에 대해서는 다음 링크 참고 ->..