인프런 영문 브랜드 로고
인프런 영문 브랜드 로고

인프런 커뮤니티 질문&답변

kanemochi님의 프로필 이미지
kanemochi

작성한 질문수

해커를 위한 iOS 앱 모의 해킹 전문 과정

Runtime Manipulation(3)

pin code 인증에 대해서

해결된 질문

작성

·

351

0

디바이스에 pin code를 인증 하는 방식과

서버에 pin code를 인증하는 방식에서 어느쪽이 좋을까요?

디바이스에  pin code를 암호화 하여 저장한다고 해도 결국 메모리 변조나 앱변조 방법으로 우회가 가능하고

서버에서 인증하는 방법은 response를 변조하여 우회가 가능합니다.

pin code를 https통신 으로 서버에서 인증하는 방식일때 

파라메터의 pin code가 암호화 하지 않고 보낼때 취약점으로 잡아야 할까요? 

저는 취약점은 아니라고 보고 있습니다.

일반적으로 웹 취약점 진단시 https통신에서 아이디 / 패스워드 인증할때도 패스워드를 암호화 하지 않아도 취약점으로 잡지 않기때문입니다.

답변 1

1

안녕하세요. 보안프로젝트 김태영입니다.

진단하는 서비스에서 HTTPS 통신으로 아이디/패스워드 인증할 때 패스워드를 암호화하지 않아도 취약점으로 잡지 않으셨다면, PIN code도 이와 동일하게 판단하시면 될 것 같습니다.

감사합니다.

kanemochi님의 프로필 이미지
kanemochi

작성한 질문수

질문하기