안드로이드 매개변수 조작 취약점 (Android Parameter Manipulation)
취약점 개요 매개변수 조작 취약점은 안드로이드 모바일 앱이 서버와 통신하도록 구현되어 있는 경우 사용자와 서버가 통신하는 과정에서 발생한다. 사용자가 입력 가능한 아이디, 비밀번호, 계좌 번호, 송금 금액, 전화번호 등의 정보를 중간에 가로채어 특정한 값으로 변조 후 서버로 전송이 가능한 취약점이다. 요청, 응답 값을 검증하는 로직이 구현되어 있지 않으면 원래의 요청 값이 변조된 값으로 처리되므로 중요 정보를 수정하여 인증을 우회하거나 정보 유출 등의 피해가 발생한다. 취약점 진단 모바일 앱에서 아이디와 비밀번호를 입력 후 로그인 버튼을 클릭하면 사용자가 입력한 정보가 login 주소로 전달된다. 입력한 계정 정보가 정확하면 서버는 Correct Credentials 메시지를 사용자에게 전달하게 되고, ..