주로 공격이 대상이 될수 있는 PC, 서버, 모바일의 관점에서 설명 하겠다.

사용자 PC

- Activex Heap spray 취약점을 통한 Drive By Download(워터홀링 공격 포함)

- 악성코드 첨부파일로 배포 hwp, doc, exe, 바탕화면 바로가기, 토렌토 

- smb 형태의 시스템 취약점을 통한 감염

서버

- OWASP 취약점을 통한 웹해킹

- apache struct2나 smb형태의 시스템 해킹

안드로이드 모바일

-  취약점을 통한 Drive By Download

- APK모듈을 통한 악성코드 배포

- 루틴

제로데이에 대한 공격은 막히 힘들고

주기적인 업데이트, 시큐어코딩, 사용자 교육, 보안솔루션 운용 등으로 대응을 해야 되눈 부분이다.

최근에 비트코인이 광풍이다.

비트코인은 500만원을 뚫을 기세다.

나도 조금 거래 해 보았지만 필자는 주식을 한 10년 정도 한거 같은데

몇가지 차이점에 대해서 나열해 보겠다.

1. 1년 365일 24시간 장이 열린다.

   주식은 우리나라 기준으로 09:00~15:30분이다 동시호가나 시간외도 있지만  정규 시간은 정해져 있다.

2. 의결권이나 배당이 거의 없다. 최근 비트코인을 보유한 사람에게 비트코인캐시를 지급한 경우는 있다. 일종의 배당이라고 보면된다.

3. 채굴이라는 이상한 시스템이 있다.(돈세탁?) 채굴이 가상화폐 시장에서는 정말 큰 주주와 같은 역활을 한다. 가상화폐는 과거 금본위제  돈=금 비율을 가지고 있어야 되었는데 브랜트 우드 체제로 넘어 오면서 달러가 그 금에 대한 부분을 대신하며 기축 통화 역할을 하게 되었다. 그 화폐에 대한 보장을 채굴하는 업자들이 하게 되는 형태이다.

굉장히 특이한 형태로 구성되어 있음을 볼수 있다.

온라인에 아이템이라면 그걸 가지고 게임을 할수도 있는데 비트코인은 출금해서 차도 사고 집도 산다고 하지만 화폐라고 보기엔 좀 무리인 부분들이 많다.

최근 굉장히 버블이다. 거의 네덜란드 툴립 버블보다 더 큰 버블이라고 하는데

코인 갯수는 한정되어 있고 다 카게 되면 또 발급하겠지만,,,전세계적으로 범죄에도 이용되고(랜섬웨어 마약거래)

이미 작업장에서 투자한 금액이 많아서 ,,, 그들이 화폐시세를 보장하고 있다고 보면 된다.

시세가 들쭉 날쭉 하기 때문에 거래를 조심해야 되며,

계 형태로 어느정도 금액을 입금 받으면 가상화폐로 지급하는곳도 많은걸로 알고 있다.

200만원 정도 입금하면 월2만원 정도 지급하는 걸로 안다. 이런곳도 사기가 많으니 조심하길 바란다.

기존의 OWASP에서 추구하는 웹 취약점 중 몇개만 접목이 가능한것으로 보인다.

일반적인 jsp가 아닌 java .class파일 처럼 배포 한다고 생각 하면 편할것이다.

메모리 오염 취약점은 의미가 없다. java에서 bof, fsb 컴파일 에러나 Out of Memory를 토해내고,  

취약점이 발생한다고 해도 WAS처럼 미들웨어 서버가 없기 떄문에 자기 자신의 스마트폰에 대한 권한만 획득 된다.

루틴과 악성코드 관점에서도 Local exploit이기 때문에 큰 의미가 없다.

안드로이드 App을 진단 할때는 원격에 존재하는 DB서버를 어떻게 털것인가에 대한 부분에 포커스를 맞춰야 된다.

1] 세션 예측 취약점

   DB세션을 쓴다고 하여도 사용자에 id/pw에 대한 로그인 인증을 하여야 된다.

  사용자가 많은 APP의 경우 충분히 공격 해볼만 하다.

  (웹 경우 브라우저에 저장되지만 어떻게 저장되고 어떻게 확인하는지는 더   살펴 봐야 되는 부분)

2] sql 인젝션

  사용자 입력값에 쿼리 구문을 삽입하여 논리적인 오류를 유발시키는 취약점이다.

  이만큼 허접하게 만든 App은 이제 없지 않을까 싶다.

  나야나같은 경우도 있지만 이제 많이 알려진 취약점 이고 생각보다 개발자들 수준도

  많이 발전 하였다.

3] DB connection 정보 활용

 웹과 APP의 가장 큰 차이점은 미들웨어가 존재하냐 존재하지 않느냐 차이이다.

 웹에서는 WAS에서 DB connection정보

호스트, DB계정, DB계정 패스워드, DB Name

저장되어 있지만

 APP에서는 xml형태에 암호화 되어서 클라이언트 배포파일에 저장될 가능성이 높다.

 그래서 그걸 바로 DB에 붙을수도 있지 않을까?

이 부분이 너무 위험해 보인다면 미들웨어 형태 처럼  DB connection 정보를 저장하는 서버를 따로 둘 가능성도 있다.

규모에 따라 다르겠지만 소규모 회사의 App은 충분히 취약점 여부를 파악해 볼만하다.

분석한 정보로 쿼리 분석기 같은 툴로 충분히 찾아낸 접속 정보로 공략 해볼만 하다.

4] 파라메터 변조

KT가 털린 방법이다. 사용자 인자값에 다른 사람의 값을 집어 넣는 형태다.

SP 형태로 인자가 바로 쓰여진다면 더 공약하기 쉽다.

5] 평문으로 데이터 전송

권한 관리를 제대로 하지 않았다면 평문으로 인자가 전달 된다면 충분히 조작해 볼만하다.

4,5번은 큰 차이가 없다.

원격의 DB서버에 대한 접근 방법에 대해서만 나열해 보았다.

안드로이드는 local공격은 의미 없다.

시큐어코딩으로도 저런 취약점은 찾아내기 힘들것이다.

관련 공부를 더 해보면서 차근 차근 접근해 봐야겠다.

1. 세션 타임아웃 설정
2. 로그인 비밀번호 3회이상 틀릴 시 잠금
3. 구간 암호화