728x90
로그는 디버깅, 오류 처리 등을 위해 중요하다. 하지만 중요 정보까지 로그를 남기게 되면 중요 정보까지 확인이 가능해지기 때문에 취약점으로 분류된다.
[로그인 정보]
logcat | grep -i "login"위와 같이 login 정보와 관련된 로그 정보를 확인할 수 있다.
아이디와 패스워드(이전에 변경했었음)가 로깅되는 것을 확인할 수 있다.
[비밀번호 변경]
인시큐어뱅크 앱에서는 로그인 기능 외에도 비밀번호 변경 기능도 가지고 있다. 변경되는 비밀번호가 평문으로 로깅된다면 이는 취약점이므로 확인해보자.
logcat | grep -i "change"change password 기능을 확인하기 위해 change를 키워드로 검색해봤다.
위와 같이 기존 패스워드와 변경되는 패스워드가 평문으로 로깅되는 것이 보인다.
[입금]
입금 기능도 로깅될 수 있으므로 살펴보자.
logcat | grep -i "555555555"이번엔 계정 정보를 키워드로 해서 검색해봤다.
거래 정보가 위와 같이 그대로 로깅되는 것을 확인할 수 있다.
[대응 방안]
- 개발자가 디버깅, 오류 처리를 위해 로깅을 설정할텐데, 중요 정보에 대한 로깅은 지양해야 한다
728x90
'안드로이드 해킹 > InsecureBankv2' 카테고리의 다른 글
| [인시큐어뱅크] 안드로이드 앱 내/외부 저장소 진단 (0) | 2025.01.04 |
|---|---|
| [인시큐어뱅크] 하드코딩된 중요 정보 확인 실습 (0) | 2024.12.31 |
