모바일 딥링크 - 모바일 어플리케이션의 특정 페이지에 도달 할 수 있는 링크를 말하는 것 , 특정 웹 페이지를 공유할 때 자주 사용하는 웹 URL(예를 들어, http://map.naver.com/local/siteview.nhn?code=19585783) 처럼, 모바일에 어플리케이션에도 특정 페이지에 들어갈 수 있는 링크가 있는 것 앱을 분석(Jadx) 하였을 때 androidmanifest.xml 분석 결과 딥링크 부분으로 http, https 프로토콜의 xe.com 으로 연결 설정 확인 파라메터 url 값으로 들어오는 값을 웹뷰로 열어 주는 코드를 확인 공격 시나리오 - 공격자가 피싱 서버 오픈 하여 short url을 이용하여 정보 탈취 short url 변환 피싱 사이트 유도 사용자가 피싱 사이..

OhBank는 Damn Vulnerable Bank라는 오픈소스를 기반으로 의도적으로 취약하게 만들어진 테스트 앱이다. 이 앱을 통해 안드로이드 어플리케이션과 API서버, (클라우드|로컬)의 취약점을 찾아내고, 그 취약점을 이용해 공격하는 방법을 배울 수 있다. 이 앱을 통해 배울 수 있는 취약점 목록은 다음과 같다. 딥링크 취약점 Activity 설정 취약점 파일 다운로드 취약점 파일 업로드 취약점 하드코딩된 민감정보 취약점 SQL 인젝션 취약점 민감 정보 노출 취약점 웹뷰 취약점 다운로드 : 깃허브 링크 https://github.com/sidereumare/OhBANK GitHub - sidereumare/OhBANK Contribute to sidereumare/OhBANK development ..