1 adb를 이용한 안전하지 않은 로깅 메커니즘 분석
(1) 다음의 logcat 명령어를 PowerShell 상에서 수행하면 많은 수의 로그 메시지를 볼 수 있다.
adb logcat
(2) 로그인 된 InsecureBankv2 앱에서 Transfer 기능을 수행한다.
(3) (2)번 수행 후, 로그 정보 중에서 System.out 태그 중에 Information 관련 내용만 출력하기 위해서, 다음의 명령어를 PowerShell 상에서 수행한다. (s의 의미는 silent)
adb logcat –s System.out:I
(4) (3)번 수행 후 화면에 출력되는 내용 중 Transfer와 연관된 로그 메시지를 분석한다
- 계좌 이체 성공/실패/시각
- 계좌 송수신자
- 계좌 내역
2 adb를 이용한 안전하지 않은 로깅 메커니즘 방어
(1) 안드로이드 스튜디오 InsecureBankv2 프로젝트의 DoTransfer.java 파일에서 System.out 문을 찾는다. 특히 3.(3)번에서 출력되는 로그와 직접적으로 연관된 System.out 문을 찾는다. 해당 System.out문을 삭제하거나 주석 처리하면 방어할 수 있다.
- 개발 시 확인을 위해 찍었던 로그를 꼭 확인하자
1 adb를 이용한 안전하지 않은 로깅 메커니즘 분석
(1) 다음의 logcat 명령어를 PowerShell 상에서 수행하면 많은 수의 로그 메시지를 볼 수 있다.
adb logcat
(2) 로그인 된 InsecureBankv2 앱에서 Transfer 기능을 수행한다.
(3) (2)번 수행 후, 로그 정보 중에서 System.out 태그 중에 Information 관련 내용만 출력하기 위해서, 다음의 명령어를 PowerShell 상에서 수행한다. (s의 의미는 silent)
adb logcat –s System.out:I
(4) (3)번 수행 후 화면에 출력되는 내용 중 Transfer와 연관된 로그 메시지를 분석한다
- 계좌 이체 성공/실패/시각
- 계좌 송수신자
- 계좌 내역
2 adb를 이용한 안전하지 않은 로깅 메커니즘 방어
(1) 안드로이드 스튜디오 InsecureBankv2 프로젝트의 DoTransfer.java 파일에서 System.out 문을 찾는다. 특히 3.(3)번에서 출력되는 로그와 직접적으로 연관된 System.out 문을 찾는다. 해당 System.out문을 삭제하거나 주석 처리하면 방어할 수 있다.
- 개발 시 확인을 위해 찍었던 로그를 꼭 확인하자
