Knowledge Center

인젝션
인젝션

외부 사용자, 내부 사용자, 앱자체 또는 모바일 디바이스의 악성 앱을 포함하여, 누구든 신뢰할 수 없는 데이터를 모바일 앱으로 보낼 수가 있습니다. 공격자는 모바일 앱 내에서 사용하는 인터프리터의 구문 취약점을 이용하는 간단한 텍스트 기반 공격을 시도합니다. 대부분의 소스 코드는 인젝션 위협에 노출되어 있습니다. 애플리케이션이 인젝션에 취약한지 확인하는 가장 좋은 방법은 입력 소스를 식별하고 사용자/애플리케이션 제공 데이터가 입력 검증 대상인지 확인하여 코드 인젝션을 허용하지 않는 것입니다. 코드 체킹은 애플리케이션이 데이터를 올바르게 처리하고 있는지 확인하는 빠르고 정확한 방법입니다. 코드 분석 도구를 사용하면 보안 분석가가 애플리케이션을 통하여 인터프리터 사용 위치를 찾고, 데이터 흐름을 추적할 수 있습니다. 매뉴얼 모의 침투 테스트는 취약점을 확인할 수 있는 예제를 만들어 이러한 문제를 사전에 확인할 수 있습니다. 

데이터는 모바일 애플리케이션의 여러 소스에서 가져올 수 있으므로 달성하려는 대상별로 데이터를 나열하는 것이 중요합니다. 일반적으로 모바일 장치에 대한 인젝션 공격은 디바이스의 데이터, 모바일 사용자 세션, 애플리케이션 인터페이스나 함수, 그리고 바이너리 코드를 대상으로 합니다. 클라이언트 쪽 인젝션으로부터 애플리케이션을 보호하려면 애플리케이션이 데이터를 수신 할 수 있는 모든 영역을 살펴보는 일종의 입력 유효성 검사를 적용해야 합니다.