이 기사에서는 InjuredAndroid CTF를 살펴보겠습니다. 이것은 버그 현상금 발견, 악용 개념 및 순수한 창의성을 기반으로 하는 CTF 예제가 있는 취약한 Android 애플리케이션입니다. CTF를 직접 사용해 보고 싶은 사람을 위해 아래 참조에서 APK를 다운로드하는 데 사용한 Github 및 GitHub에 대한 링크를 남겼습니다.
응용 프로그램을 열면 다음과 같은 주요 활동으로 인사드립니다.
총 8개의 플래그가 있는 것으로 보입니다. 저자에 따르면:
XSSTEST는 재미를 위한 것이며 WebView가 XSS에 취약해질 수 있는 방법에 대한 인식을 높이기 위한 것입니다.
XSSTEST 활동을 보면 텍스트를 제출할 수 있는 간단한 입력 필드가 표시됩니다.
취약점이 존재하는지 보여주기 위해 경고 상자를 만들고 생성할 간단한 JavaScript를 입력할 수 있습니다.
alert('XSS!!') 
이 입력을 입력하면 입력을 표시하는 데 사용되는 활동이 로드될 때 경고 상자가 생성됩니다.
이 과제는 DisplayPostXSS 활동을 살펴보고 이 활동을 취약하게 만드는 요인을 확인할 것을 권장합니다. DisplayPostXSS 활동의 소스 코드는 아래 이미지에서 볼 수 있습니다.
소스 코드를 살펴보면 개발자가 활동 레이아웃의 일부로 웹 콘텐츠를 표시할 수 있도록 하는 새 WebView 개체가 생성되었음을 알 수 있습니다. 위의 빨간색으로 강조 표시된 것처럼 개발자가 JavaScript 실행을 활성화했기 때문에 이 활동은 XSS에 취약합니다. 이것은 개발자가 WebView를 XSS에 취약한 상태로 둘 수 있는 방법에 대한 훌륭하고 간단한 예입니다.
#mobile-app-security #ctf-writeup #technology #android #mobile-app-testing #android
미디엄닷컴
InjuredAndroid CTF 작성
이 기사에서는 InjuredAndroid CTF를 살펴보겠습니다. 버그 기반 CTF 예제가 있는 취약한 Android 애플리케이션입니다.