DIVA | 不安全的日志记录
不安全的日志记录
将一些敏感信息作为日志记录,输出到控制台
- 目标:找出记录在何处/如何记录的内容以及易受攻击的代码。
- 提示:当开发人员有意或无意地记录敏感信息(如凭据、SessionID、财务详细信息等)时,会发生不安全的日志记录。
使用Jadx反编译一下Apk,看一下Apk结构
查看一下AndroidManifest.xml
文件
现在来看看第一关,不安全的日志记录,根据目标和提示,使用adb
或者Android SDK的Monitor工具,安装了Android Studio都有,位于Android SDK的tools目录下,使用Everything
搜一下monitor.bat
也可以。
adb
使用adb工具查看日志,先确保adb devices
已经有设备连接上了。
adb logcat | findstr "diva"
可以在日志看到我们输入的敏感数据
Monitor
Windows 打开monitor.bat
找到diva的包名,新增一个过滤器,这里使用PID进行过滤
重新测试一遍
同样也可以看到
源码
可以通过Activity记录器或者直接看文件名或者看入口MainActivity代码,很轻易找到第一关的源代码,如下图
该漏洞的主要原因是开发人员把用户输入的敏感信息与日志拼接一起打印输出到控制台