문제풀이
목표: 웹 URL을 제외한 모든 민감한 정보에 액세스해 보십시오.
힌트: 입력을 사용하기 전에 필터링하거나 유효성을 검사하지 않으면 입력 유효성 검사 문제가 부적절하거나 전혀 발생하지 않습니다. 외부에서 입력을 받는 구성 요소를 개발할 때는 항상 유효성을 검사하십시오.
URL을 입력 시에 웹뷰를 통해 웹 사이트가 출력이 되었다.
하지만, http가 아닌 file을 삽입함으로 디바이스 내 저장된 파일을 출력하도록 하겠다.
file:///data/data/jakhar.aseem.diva/shared_prefs/jakhar.aseem.diva_preferences.xml을 입력하여 저장된 데이터를 출력하였다.
코드를 확인해보니, 입력 값을 검증 없이 그대로 사용하여 내부 파일이 출력이 되었다.
'워게임 > DIVA' 카테고리의 다른 글
| [Android] 10. 접근 제어 이슈 - Part 2 (0) | 2022.11.29 |
|---|---|
| [Android] 09. 접근 제어 이슈 - Part 1 (0) | 2022.11.29 |
| [Android] 07. 입력 유효성 검사 문제 - Part 1 (0) | 2022.11.29 |
| [Android] 06. 취약한 데이터 저장소 - Part 4 (0) | 2022.11.29 |
| [Android] 05. 취약한 데이터 저장소 - Part 3 (0) | 2022.11.29 |