진단후 취약점 리스크 설명에 대해
앱의 자동 로그인을 위해 로컬 데이터 스토리지에 아이디와 비번을 평문으로 저장된 취약점을 발견하여 세큐리티 리스크 High로 평가하여 보고서를 작성한적이 있었습니다.
개발쪽에서는 영업점에서만 사용하는 앱이고 , 영업점 스탭들은 아이디 와 비번을 공유하고 있으며, 아이폰에 패스워드를 걸어 두었기때문에 취약점 리스크는 High가 아니다라고
갑을박론을 펼친적이 있었습니다.
취약점의 리스크는 크지만 취약점을 악용할수 있는 위협 리스크는 작을경우
진단 보고서에 리스크 고/중/저 중 High로 평가하는것에 대해 어떻게 생각하시는지 알고 싶습니다.
공유해주실만한 팁이 있으시다면 부탁드립니다.
답변 1
0
안녕하세요. 보안프로젝트 김태영입니다.
로컬 데이터 스토리지에 아이디와 비번을 평문으로 저장하는 취약점이 발견되었다면, 질문 주신 분과 동일하게 위험성을 높게 평가하였을 것입니다.
하지만, 서비스하는 업체에서 해당 평가에 대해 강력하게 주장한다면 어느 정도 서로 협의를 거치는 것을 추천해 드립니다.
진단자는 리스크를 높게 평가하였지만, 서비스를 제공하는 업체에서는 높게 보지 않을 수가 있습니다. 이런 경우에는 상호 간에 충분한 협의를 하시고 최종 리스크 평가를 하는 것을 추천해 드립니다.
리스크 평가도 중요하지만, 취약점을 조치하는지 여부가 더욱 중요하다고 생각합니다. 리스크가 낮다고 조치하지 않는 경우가 있는데, 질문 주신 취약점은 인증정보가 평문으로 노출되기 때문에 반드시 조치해야 한다고 생각합니다.
감사합니다.
3uTools Files 로딩 후 에러 (에러코드 : 13)
0
754
3
ios 14.4.2 Appsync 설치 오류
0
89
1
강의 추가 계획은 없나요?
0
106
1
frida-ios-dump 시 오류 발생
0
869
1
checkra1n, unc0ver 오류
0
699
1
아이폰6 ios 12.5.7 버전 문의
0
512
2
Fairplay DRM 복호화
0
377
2
Appsync 설치 오류
0
1476
2
bootra1n 설치 오류
0
336
2
루팅 시 기기 선택과 탈옥도구에 관해 문의드립니다
0
321
1
Darwin CC Tools 관련 질문 있습니다.
0
453
2
rootless로 탈옥
0
434
1
SSH연결 후 5초 뒤에 끊김
0
484
1
Application Patching(2) 질문있습니다.
0
327
1
keychain_dumper 오류 있습니다.
0
417
1
트윅 설치 관련하여 질문드립니다.
0
1010
1
탈옥 탐지하여 강제 종료되는 앱 진단
0
1539
1
안녕하세요. 금융권 앱을 진단해보려구 하는데요.
0
426
2
아이폰 필요한가요?
0
455
1
에러 메세지 한글 검색
0
727
1
Sensitive Information in Memory
1
332
1
frida 관련 질문입니다.
0
2358
2
Keychain_dumper.sh 실행 시 에러가 발생합니다.
0
742
3
Runtime Manipulation(2) 강의 중 질문이 있습니다 .!!
0
353
1