MASTG-TEST-0053: 检查日志中的敏感数据
此测试即将更新
此测试目前可使用,但将作为新的 OWASP MASTG v2 指南 的一部分进行全面修订。
请提交 PR 来帮助我们: MASTG v1->v2 MASTG-TEST-0053: 检查日志中的敏感数据 (ios)
概述¶
静态分析¶
使用以下关键字检查应用程序的源代码中是否存在预定义和自定义的日志记录语句
- 对于预定义和内置函数
- NSLog
- NSAssert
- NSCAssert
- fprintf
- 对于自定义函数
- Logging
- Logfile
解决此问题的一个通用方法是使用 define 启用开发和调试的 NSLog
语句,然后在发布软件之前禁用它们。 您可以通过将以下代码添加到相应的 PREFIX_HEADER (*.pch) 文件中来完成此操作
#ifdef DEBUG
# define NSLog (...) NSLog(__VA_ARGS__)
#else
# define NSLog (...)
#endif
动态分析¶
参见 监控系统日志 并且一旦设置完毕,请导航到显示输入字段的屏幕,这些字段用于获取敏感的用户信息。
启动其中一种方法后,填写输入字段。 如果输出中显示敏感数据,则应用程序未通过此测试。