WIKI

12.9 日志泄露风险检测

(1)描述

APP的开发过程中,为了方便调试,通常会使用log函数输出一些关键流程的信息,这些信息中通常会包含敏感内容,如执行流程、明文的用户名密码等,这会让攻击者更加容易的了解APP内部结构方便破解和攻击,甚至直接获取到有价值的敏感信息

(2)风险等级

提醒

(3)影响范围

所有

(4)检测方法

检测类型:静态分析+动态分析

检测是否调用了Log.vLog.dLog.eLog.iLog.wLog.fLog.s函数

(5)修复讲义

移除Log打印

(6)样例分析

http://www.wooyun.org/bugs/wooyun-2014-082717

(7)参考资料

http://wolfeye.baidu.com/blog/logcat-leak-sensitive-information