這一章我們來學習“日志資訊泄露”,此項在檢測手段上可以采取動靜結合的方式進行檢測,在第三方檢測平臺一般采用靜態檢測且存在誤報率,
一、漏洞原理
開發者在開發應用時,通常都會埋點(插入日志)進行除錯,若沒有對日志資訊進行管理那么就有可能導致敏感資訊泄露的風險,給攻擊者提供了便利,例如:通信互動的日志,造成的網路資料安全,服務器安全;用戶個人資訊日志,造成賬號和密碼的泄露;其它關鍵日志資訊,給攻擊者提供攻擊的便利,
二、檢測手段
檢測的方式分為兩種:
a. 靜態檢測:安全檢測平臺通常用的檢測手段,但是誤報率高,需要檢測方或開發者校驗,通常掃描:Log類的方法呼叫,System類的日志輸出方法呼叫
b. 動態監測:使用工具直接查看日志,但需要人工操作點擊軟體各個資訊界面,不一定可以把每種情況照顧到,
從上面的兩種方式來講,使用靜態方式加校驗可以把java層的日志資訊很好的去掉,但是對于native層(JNI)就顯的無力,那么可以考慮使用動靜結合方式進行綜合的評測,
檢測方法:
step1:使用安全平臺靜態掃描代碼,收集代碼內日志輸出的點
step2:使用工具動態查看日志的輸出資訊,記錄敏感日志
step3:人工復核靜態掃描的日志輸出點,對敏感日志、關鍵資訊日志進行日志關閉處理,
step4:綜合靜態和動態結果,得出最終的結論
三、修復方法
(1)對日志進行統一管理,當上架應用市場時,應生成一個無敏感日志資訊的安裝包
asjhan for Android reverse
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/293095.html
標籤:其他