안전하지 않은 로깅 메커니즘

정의
- 민감한 데이터나 노출되면 안 될 정보들을 로그로 남길 경우에 발생하는 취약점이다.

발생 위치
- 주기억 장치, 물리적 메모리 램

영향
- 로그에 중요한 정보들이 남게 되면 정보가 유출된다.

진단
안드로이드 도구 Monitor 프로그램을 보면 아이디와 패스워드가 노출된 것을 확인할 수 있다.

그림 1-1 Monitor 도구

계좌이체가 되는 과정에서 생성되는 로그가 그대로 노출되는 것을 확인할 수 있다.

그림 1-2 계좌이체 정보

대응방안
- 중요한 정보들이 노출되지 않도록 실제 소스 코드에 어느 부분에서 발생되는지 확인한 후 내용들이 출력되지 않도록 출력되는 부분을 지운다.

DoLogin.java에서 평문으로 출력되는 소스코드 부분을 삭제한다.

그림 1-3 평문출력 코드

DoTransfer.java에서 username,password 평문으로 출력되는 부분 삭제한다.

그림 1-4 평문 출력 코드