• 카테고리

    질문 & 답변

  • 세부 분야

    보안

  • 해결 여부

    해결됨

pin code 인증에 대해서

20.06.07 17:46 작성 조회수 211

0

디바이스에 pin code를 인증 하는 방식과

서버에 pin code를 인증하는 방식에서 어느쪽이 좋을까요?

디바이스에  pin code를 암호화 하여 저장한다고 해도 결국 메모리 변조나 앱변조 방법으로 우회가 가능하고

서버에서 인증하는 방법은 response를 변조하여 우회가 가능합니다.

pin code를 https통신 으로 서버에서 인증하는 방식일때 

파라메터의 pin code가 암호화 하지 않고 보낼때 취약점으로 잡아야 할까요? 

저는 취약점은 아니라고 보고 있습니다.

일반적으로 웹 취약점 진단시 https통신에서 아이디 / 패스워드 인증할때도 패스워드를 암호화 하지 않아도 취약점으로 잡지 않기때문입니다.

course-thumbnail

해커를 위한 iOS 앱 모의 해킹 전문 과정

Runtime Manipulation(3)

강의실 바로가기

답변 1

답변을 작성해보세요.

1

김태영님의 프로필

김태영

2020.06.21

안녕하세요. 보안프로젝트 김태영입니다.

진단하는 서비스에서 HTTPS 통신으로 아이디/패스워드 인증할 때 패스워드를 암호화하지 않아도 취약점으로 잡지 않으셨다면, PIN code도 이와 동일하게 판단하시면 될 것 같습니다.

감사합니다.

이 글과 비슷한 Q&A