pin code 인증에 대해서
디바이스에 pin code를 인증 하는 방식과
서버에 pin code를 인증하는 방식에서 어느쪽이 좋을까요?
디바이스에 pin code를 암호화 하여 저장한다고 해도 결국 메모리 변조나 앱변조 방법으로 우회가 가능하고
서버에서 인증하는 방법은 response를 변조하여 우회가 가능합니다.
pin code를 https통신 으로 서버에서 인증하는 방식일때
파라메터의 pin code가 암호화 하지 않고 보낼때 취약점으로 잡아야 할까요?
저는 취약점은 아니라고 보고 있습니다.
일반적으로 웹 취약점 진단시 https통신에서 아이디 / 패스워드 인증할때도 패스워드를 암호화 하지 않아도 취약점으로 잡지 않기때문입니다.
답변 1
1
안녕하세요. 보안프로젝트 김태영입니다.
진단하는 서비스에서 HTTPS 통신으로 아이디/패스워드 인증할 때 패스워드를 암호화하지 않아도 취약점으로 잡지 않으셨다면, PIN code도 이와 동일하게 판단하시면 될 것 같습니다.
감사합니다.
3uTools Files 로딩 후 에러 (에러코드 : 13)
0
753
3
ios 14.4.2 Appsync 설치 오류
0
89
1
강의 추가 계획은 없나요?
0
106
1
frida-ios-dump 시 오류 발생
0
869
1
checkra1n, unc0ver 오류
0
699
1
아이폰6 ios 12.5.7 버전 문의
0
512
2
Fairplay DRM 복호화
0
377
2
Appsync 설치 오류
0
1474
2
bootra1n 설치 오류
0
336
2
루팅 시 기기 선택과 탈옥도구에 관해 문의드립니다
0
321
1
Darwin CC Tools 관련 질문 있습니다.
0
453
2
rootless로 탈옥
0
434
1
SSH연결 후 5초 뒤에 끊김
0
484
1
Application Patching(2) 질문있습니다.
0
327
1
keychain_dumper 오류 있습니다.
0
417
1
트윅 설치 관련하여 질문드립니다.
0
1010
1
탈옥 탐지하여 강제 종료되는 앱 진단
0
1539
1
안녕하세요. 금융권 앱을 진단해보려구 하는데요.
0
426
2
아이폰 필요한가요?
0
455
1
에러 메세지 한글 검색
0
727
1
Sensitive Information in Memory
1
332
1
frida 관련 질문입니다.
0
2358
2
Keychain_dumper.sh 실행 시 에러가 발생합니다.
0
742
3
Runtime Manipulation(2) 강의 중 질문이 있습니다 .!!
0
353
1