인시큐어뱅크 앱 취약점 - 취약한 로깅 메커니즘
취약점 소개
로그(Log)는 프로그램 구동 시 프로그램의 현재 상태, 처리하는 데이터 정보를 말한다.
로그를 통해 관리자나 개발자는 중요한 정보를 제공받을 수 있으며, 특히 프로그램에 버그가 있을 때 이를 유지보수 하는데 사용할 수 있다.
취약한 로깅 메커니즘은 이러한 로그에 노출되어서는 안되는 중요한 데이터 또는 민감한 데이터가 로그로 남겨지는 경우를 말한다.
취약점 진단
adb로 로그인 과정을 logcat을 이용해 확인해보면 다음과 같이 로그인 한 계정의 정보가 평문으로 노출되는 것을 확인 가능하다.
대응 방안
다음 DoLogin 소스코드를 살펴보면 로그인이 성공했다면 로그에 Successful Login 다음으로 계정의 아이디와 비밀번호를 출력하는 것을 볼 수 있는데 저 문장을 삭제한다.
'Android > InsecureBankv2' 카테고리의 다른 글
| 인시큐어뱅크 앱 취약점 - 앱 디버깅 취약점 (0) | 2023.07.03 |
|---|---|
| 인시큐어뱅크 앱 취약점 - 페이스트보드 취약점 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 중요 정보 메모리 노출 취약점 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 앱 패칭 취약점 (0) | 2023.07.03 |
| 인시큐어뱅크 앱 취약점 - 취약한 암호화 구현 (0) | 2023.07.03 |