DIVA Android - 1.Insecure Logging
DIVA Android - 2.Hardcoding Issues – Part 1
DIVA Android - 3.Insecure Data Storage – Part 1
DIVA Android - 4.Insecure Data Storage – Part 2
DIVA Android - 5.Insecure Data Storage – Part 3
DIVA Android - 6.Insecure Data Storage – Part 4
DIVA Android - 7.Input Validation Issues – Part 1
DIVA Android - 8.Input Validation Issues – Part 2
DIVA Android - 9.Access Control Issues – Part 1
DIVA Android - 10.Access Control Issues – Part 2
DIVA Android - 11.Access Control Issues – Part 3
DIVA Android - 12.Hardcoding Issues – Part 2DIVA Android - 7.Input Validation Issues – Part 1
DIVA Android - 8.Input Validation Issues – Part 2
DIVA Android - 9.Access Control Issues – Part 1
DIVA Android - 10.Access Control Issues – Part 2
DIVA Android - 11.Access Control Issues – Part 3
DIVA Android - 13.Input Validation Issues – Part 3
最近稍微找了一些有洞的 App 做點練習,就順便記錄一下學習歷程,也提供想學這塊的新手做個參考。
這次使用的 App 是 diva-android,因為有給 source code 我就不去反組譯了,直接看 code。
正文開始。
「1.INSECURE LOGGING」對應到的 Activity 是 LogActivity,看一下 code 長這樣:
弱點在於它的 Log 會去記錄使用者的信用卡卡號,所以我們在 logcat 就能看到在 App 中輸入的資訊。
防範方法:
1.AndroidManifest.xml 內的 android:debuggable 設為 false。不過你的 App 如果能被重包,或是我改掉了手機內的ro.debuggable,這設定了也沒用。
2.利用 BuildConfig.DEBUG 控制 Log 是否輸出。
3.最保險解是 release 版 App 拿掉所有 Log 資訊。
沒有留言:
張貼留言