13. 13. 모바일앱 인증서 고정(Certificate Pinning)과 관련하여 다음 물음에 답하시오. 1) 인증서 고정이 무엇이고, 어떤 취약점을 방지하기 위함인가? 2) 인증서 고정의 핵심 요소 3가지는 무엇인가? 3) 인증서 고정 우회 방법 2가지는 무엇인가?
| 정답 확인 | 맞췄어요 O | 틀렸어요 X |
2-1) 인증서 저장 : 서버의 인증서 (또는 공개키)를 모바일 앱에 저장(하드코딩)
2-2) 인증서 검증 : 서버 인증서와 모바일 앱에 저장된 인증서를 비교 후 불일치 하는 경우 거래 차단
2-3) 인증서 교체 : 서버 인증서가 교체(갱신)되는 경우 모바일 앱에도 교체된 인증서(또는 공개키)로 업데이트하여 배포
3-1) 런타임 후킹 : Frida와 같은 동적 분석 도구를 이용하여 앱 실행 중 인증서 검증 함수나 검증 결과를 조작하여 검증을 우회하는 방식
3-2) 앱 변조 및 리패키징 : 모바일 앱 내부의 인증서 검증 코드를 제거하거나 수정한 뒤 재배포하여 우회하는 방식
자유 댓글