DIVA 앱을 설치 후 실행하면 13개의 문제가 나오게 되는데 이 중 1번 문제인 안전하지 않은 로깅(INSECURE LOGGING) 문제를 클릭한다
1번 문제를 클릭하게 되면 카드 번호를 입력하라고 하는 창과 함께 로깅되는 정보 내 취약점이 발생하는데 관련된 코드를 찾아내야 된다는 목표가 적혀있다
임의의 카드 번호(1234)를 입력하고 "CHECK OUT" 버튼을 클릭할 시 에러 메시지(An error occured. Please try again later)가 발생되며, 로깅되는 정보는 중요 정보(ID, PW, 세션 값, 고유식별번호 등)가 평문으로 로그 파일 내 존재할 수 있다는 의미이므로 adb를 이용해 로그 파일을 확인해봐야 한다
로그 파일에 남는 임의의 카드 번호를 식별하기 쉽도록 임의의 값(1234567890123456)으로 재전송을 시도 한다
adb logcat을 이용하여 로그 파일을 살펴본 결과 임의의 카드 번호 입력 후 에러 메시지가 발생될 때 입력한 임의의 카드 번호가 평문으로 남는 것을 확인할 수 있다
반응형