NSUserDefault Storage

NSUserDefault Storage

- NSUserDefaults함수로 저장해 경로가 노출되고 데이터를 확인할 수 있는 취약점

 

위치

iGoat\Library\Preferences\com.swaroop.iGoat.plist

 

영향

민감한 정보를 노출될 위험이 있다.

 

진단

데이터 입력란에 1234를 입력했다.

그림 5-1 데이터 입력

데이터를 입력한 결과 Invalid! 메시지를 보여준다.

그림 5-2 Invalid 메시지

iFounbox에서 iGoat\Library\Preferences\com.swaroop.iGoat.plist 파일을 찾았다.

그림 5-3 Plist 파일

Plist 파일 안에 53cr3tP PIN 번호를 확인할 수 있다.

그림 5-4 PIN 번호

53cr3tP PIN번호를 입력한 결과 Success 문구를 보여준다.

그림 5-5 Success 메시지

대응방안

중요 정보 저장 시 암호화를 한다.