워게임/DIVA

[Android] 01. 취약한 로깅

  • -

문제풀이

목표 : 기록되는 위치/방법 및 취약한 코드를 찾으십시오.

힌트 : 안전하지 않은 로깅은 개발자가 자격 증명, 세션 ID, 금융 세부 정보 등과 같은 민감한 정보를 내부적으로 또는 비간섭적으로 기록할 때 발생합니다.

 




일단 임의의 숫자를 삽입하여 CHECK OUT 버튼을 클릭 시 "An error occured.Please try again later"이라는 오류 문구를 Toast로 띄어줬다.

adb shell ps | grep "diva" 명령을 통해 디바이스에서 실행 중인 DIVA 어플리케이션의 PID를 확인을 하였다.

확인한 PID를 adb logcat의 pid 옵션에 넣어 DIVA 어플리케이션의 로그만 출력하도록 설정하였다.

 

출력된 로그에서 입력한 값을 검색해보니, 평문으로 출력되는 것을 확인할 수 있었다.

 

LogActivity.java

코드에서 확인한 결과, 사진 속 빨간 색 박스 내의 코드로 인하여 입력한 값이 Logcat에 출력되었다.

Contents

포스팅 주소를 복사했습니다

이 글이 도움이 되었다면 공감 부탁드립니다.