vulnérabilités application android : « Insecure Logging »

Dans cette série d’articles consacrés au vulnérabilités dans les applications android nous allons exploiter les vulnérabilités de l’applicaion « Damn Insecure and vulnerable App » que vous pouvez télécharger sur github.

La premère vulnerabilité de cette application s’appelle « Insecure Logging », lorsque nous lançons cett activité nous pouvons entrer un numéro de carte de crédit, d’après l’enoncé ce numéro sera accessible dans les logs.

Nous allons donc recupérer le pid du processus de cette application à l’aide de la commande ps puis nous afficherons les logs de cette application :

Entrons ensuite un numéro de carte de crédit et cliquons sur « check out », le numéro de carte de credit pparait dans les logs affichés par la comande logcat :

L’objectif de cette activité est réussi, nous avons bien récupéré le numéro de carte de crédit entré dans les logs de l’application !

 

Dans le prochain article nous analyserons les activité « Hardcoding issues ».

Add a Comment

Votre adresse de messagerie ne sera pas publiée.