[IOS] DVIA 를 통한 취약점 파헤치기!(Local Data Storage)

안녕하세요.

실습환경을 구성하였으니 DVIA를 통해 취약점에 대해 하나하나 확인해 보도록 하겠습니다.

 

우선 DVIA 설치를 해보도록 하겠습니다.

 

1. DVIA 설치를 위한 Git 저장소 접속(https://github.com/prateek147/DVIA-v2) 후 .ipa 파일 다운로드

 

2. 해당 .ipa 파일 클릭 후 다운로드 해주시면 됩니다.

 

3. 이후 3uTools를 이용해서 아이폰에 해당 애플리케이션을 넣어주도록 합니다.
    (Apps 탭에서 Import & Install ipa)

 

4. 이전에 다운로드한 .ipa 파일을 선택하여 넣어 줍니다.

 

5. 아래와 같이 DVIA 앱이 설치된 것을 확인할 수 있습니다.

 

 

실습시작!

 

1. DVIA 앱에 접근 하여 Local Data Storage > Plist 선택

 

2.  Plist 파일에 해당 입력 값이 저장되는지 확인하기 위해 임의의 문자 입력

 

3. 3utools를 이용하여 해당 경로의 .plist 확인

 

4. 파일 내용을 더 자세히 보기위해 메모장으로 이동 후 문자열 검색
    (해당 plist 파일에서는 입력한 문자열을 찾을 수 없었음)

 

5. 다른 경로의 plist 파일 내에 평문으로 입력 값이 저장되어 있는 것을 확인

 

상세 설명

 

Plist (Property List)

 

- Plist 파일

: 어플리케이션 데이터 및 설정 정보를 저장

: 저장 된 정보가 암호화되지 않기에 중요 정보 저장 하지 않도록 필요

: Info.plist에 버전 정보, 실행가능한 바이너리, 지원되는 ios 버전 및 디바이스 모들 등의 정보가 저장

: 이외의 앱에서 필요한 데이터를 내부 저장소에 저장