워게임/DIVA

[Android] 08. 입력 유효성 검사 문제 - Part 2

  • -

문제풀이

목표: 웹 URL을 제외한 모든 민감한 정보에 액세스해 보십시오.

힌트: 입력을 사용하기 전에 필터링하거나 유효성을 검사하지 않으면 입력 유효성 검사 문제가 부적절하거나 전혀 발생하지 않습니다. 외부에서 입력을 받는 구성 요소를 개발할 때는 항상 유효성을 검사하십시오.

 


 

URL을 입력 시에 웹뷰를 통해 웹 사이트가 출력이 되었다.

하지만, http가 아닌 file을 삽입함으로 디바이스 내 저장된 파일을 출력하도록 하겠다.

 

file:///data/data/jakhar.aseem.diva/shared_prefs/jakhar.aseem.diva_preferences.xml을 입력하여 저장된 데이터를 출력하였다.

 

InputValidation2URISchemeActivity .java

코드를 확인해보니, 입력 값을 검증 없이 그대로 사용하여 내부 파일이 출력이 되었다.

 

Contents

포스팅 주소를 복사했습니다

이 글이 도움이 되었다면 공감 부탁드립니다.