반응형
설명
로그는 장애 원인 분석이나, 프로그램 개발 또는 유지보수하는 데 유용하게 사용되는데 실행 중에 발생하는 프로그램의
이벤트 혹은 통신 기록 중 로그 기록에 노출되면 안되는 중요한 정보가 기록되는 취약점이다.
취약점 진단
모바일 단말기에서 발생한 로그 정보를 보여주는 명령어다.
# adb logcat
① 인시큐어뱅크 로그인 화면에서 입력한 아이디와 비밀번호가 로그에 평문으로 기록된다. ② 비밀번호 변경 화면에서 입력한 패스워드가 평문으로 기록된다.
jadx에서 Ctrl + Shift + F를 눌러 검색 입력폼에 "System.out.println", "Log." 를 입력하면 해당 메소드를 사용한 코드들이 출력된다.
대응방안
반응형
'해킹-보안 > 모바일' 카테고리의 다른 글
| 액티비티 컴포넌트 취약점 (0) | 2020.12.07 |
|---|---|
| 취약한 HTTP 통신 및 파라미터 조작 취약점 (0) | 2020.12.07 |
| 로컬 암호화 취약점 & SD 카드 저장소 취약점 (0) | 2020.12.06 |
| 하드코딩 취약점 (1) | 2020.12.06 |
| 녹스 Burp 인증서 설치 (0) | 2020.12.04 |
