안드로이드 비밀번호 변경 구현 취약점 (Android change password)

취약점 개요 비밀번호 변경 구현 취약점은 모바일 앱의 비밀번호 변경 기능을 사용할 때 취약하게 구현되어 있어 제 3자가 비밀번호를 변경할 수 있는 취약점이다. 인시큐어뱅크 앱은 비밀번호 변경 버튼을 클릭하면 로그인 중인 사용자의 현재 비밀번호를 입력받지 않고, 새로운 비밀번호를 변경할 수 있다. 실질적으로 사용자에게 배포한 앱에 이런 취약점이 있다면 여러 사용자의 비밀번호를 일괄적으로 변경할 수 있고, 중요한 정보와 민감한 정보를 획득할 수 있는 중대한 취약점이 존재한다. 모바일 앱 취약점 진단 뿐만 아니라 웹 모의해킹을 할 때, 비밀번호 기능이 있는 페이지의 경우 검증 로직이 구현되어 있는지 확인한다. 이 부분을 잠깐 살펴보자. 비밀번호 복잡도 구현, 동일한 비밀번호 변경할 수 없도록 제한 회원 가입 ..