문제풀이
목표: 버튼을 클릭하면 API 자격 증명에 액세스할 수 있습니다. 이제 앱 외부에서 API 자격 증명에 액세스해 봅니다.
힌트: 앱의 구성요소는 적절하게 보호되지 않은 경우 다른 앱이나 사용자가 액세스할 수 있습니다. 활동, 서비스, 콘텐츠 제공자와 같은 구성 요소는 이러한 경향이 있습니다.
이번 문제는 버튼을 클릭하지 않고, 위 사진의 액티비티로 이동해야하는 문제이다.
코드를 확인해보니, jakhar.aseem.diva.action.VIEW_CREDS으로 이동되는 코드를 확인할 수 있었다.
해당 액션이 어떤 액티비티를 호출하는지를 알아내기 위해 AndroidManifest.xml에서 찾아보니, APICredsActivity를 호출하는 것을 확인하였다.
adb의 am을 이용하여 해당 액티비티 호출할 수 있었다.
'워게임 > DIVA' 카테고리의 다른 글
| [Android] 11. 접근 제어 이슈 - Part 3 (0) | 2022.11.29 |
|---|---|
| [Android] 10. 접근 제어 이슈 - Part 2 (0) | 2022.11.29 |
| [Android] 08. 입력 유효성 검사 문제 - Part 2 (0) | 2022.11.29 |
| [Android] 07. 입력 유효성 검사 문제 - Part 1 (0) | 2022.11.29 |
| [Android] 06. 취약한 데이터 저장소 - Part 4 (0) | 2022.11.29 |