脆弱性対策体験

サンプルアプリの修正が完了したら、以下の手順に従って脆弱性が修正されたかどうか確認してみましょう。

サンプルアプリの実行

以下の手順に従ってサンプルアプリを実行します。
  • 作成済みのPreferenceを削除
    **** 必ず行ってください ****
    修正前のサンプルアプリが作成したPreferenceを削除します。 これは、Preferenceファイルのアクセス権はファイル作成時に設定されるためです。
    アプリの詳細画面からPreferenceを消去することができます。


  • 修正したサンプルアプリをインストールおよび実行
    脆弱性対策方法を基に修正したサンプルアプリを端末にインストールして実行し、ログイン情報を登録してみてください。

攻撃アプリの実行

脆弱性対策が正しく行われたか、攻撃アプリを再度実行してみましょう。
端末(またはエミュレータ)のアプリ一覧画面(ドロワー)上で、攻撃アプリのアイコン「03SNSモバイルスパイ」をタップし、攻撃アプリを起動します。
  • 攻撃アプリを一度強制停止する
    **** 必ず行ってください ****
    端末にインストールされている攻撃アプリを一度、強制停止します。 これは、対策前のサンプルアプリから取得したPreference情報がキャッシュとして残っている場合があり、情報が盗み出されていないにも関わらず前回の情報が表示されてしまうことがあるためです。
    アプリの詳細画面から強制停止することができます。


  • 攻撃アプリをインストールおよび実行

結果の確認

攻撃アプリの実行結果を確認してみましょう。
今度は、サンプルアプリで登録した情報が盗み出されていない事が分かります。
  • 実行結果の確認


これで、Preferenceファイルのアクセス制限不備についての学習は終了です。