DIVA系列教程 part 1 – 不安全登录日志

DIVA第一关: 1. INSECURE LOGGING  不安全登录日志

点击第一关之后,会有目标和提示信息

  • 目标:找到在哪登录,如何登录,以及缺陷代码
  • 提示:不安全登录发生在开发者有意或无意记录登录敏感信息,像证书、session id以及财务详情等

当随便输入信用卡账号时,点击 check out会提示错误

根据提示需要找log信息,使用 adb log来查看设备log信息

在appie中输入 adb logcat 命令,当diva出现登录验证操作时,在log中可以查看到输入的明文信息

下一步查找缺陷代码,在反编译后的代码中,查看 LogActivity 的源码,发现登录时的log信息为用户输入的明文,并没有进行任何编码和加密操作

由此,当用户输入敏感信息时,需要对输入进行编码加密或hash,在log中不能打印敏感信息。

您可能还喜欢...