• 카테고리

    질문 & 답변

  • 세부 분야

    보안

  • 해결 여부

    해결됨

진단후 취약점 리스크 설명에 대해

20.05.19 23:04 작성 조회수 136

0

앱의 자동 로그인을 위해 로컬 데이터 스토리지에  아이디와 비번을 평문으로 저장된 취약점을 발견하여 세큐리티 리스크 High로 평가하여 보고서를 작성한적이 있었습니다.

개발쪽에서는 영업점에서만 사용하는 앱이고 , 영업점 스탭들은 아이디 와 비번을 공유하고 있으며, 아이폰에 패스워드를 걸어 두었기때문에 취약점 리스크는 High가 아니다라고

갑을박론을 펼친적이 있었습니다.

취약점의 리스크는 크지만 취약점을 악용할수 있는 위협 리스크는 작을경우 

진단 보고서에 리스크 고/중/저 중 High로 평가하는것에 대해 어떻게 생각하시는지 알고 싶습니다.

공유해주실만한 팁이 있으시다면 부탁드립니다.

course-thumbnail

해커를 위한 iOS 앱 모의 해킹 전문 과정

Local Data Storage(1)

강의실 바로가기

답변 1

답변을 작성해보세요.

0

김태영님의 프로필

김태영

2020.05.21

안녕하세요. 보안프로젝트 김태영입니다.

로컬 데이터 스토리지에 아이디와 비번을 평문으로 저장하는 취약점이 발견되었다면, 질문 주신 분과 동일하게 위험성을 높게 평가하였을 것입니다.

하지만, 서비스하는 업체에서 해당 평가에 대해 강력하게 주장한다면 어느 정도 서로 협의를 거치는 것을 추천해 드립니다.

진단자는 리스크를 높게 평가하였지만, 서비스를 제공하는 업체에서는 높게 보지 않을 수가 있습니다. 이런 경우에는 상호 간에 충분한 협의를 하시고 최종 리스크 평가를 하는 것을 추천해 드립니다.

리스크 평가도 중요하지만, 취약점을 조치하는지 여부가 더욱 중요하다고 생각합니다. 리스크가 낮다고 조치하지 않는 경우가 있는데, 질문 주신 취약점은 인증정보가 평문으로 노출되기 때문에 반드시 조치해야 한다고 생각합니다.

감사합니다.

이 글과 비슷한 Q&A