1. 问题说明
检测系统中是否抛出或泄露该应用的敏感信息也是一个基础项,使用 xcode/同步助手 等工具查看系统实时日志,检测是否抛出该应用的敏感信息,如用户账号密码等,如果日志中有敏感信息,则可能会造成应用信息系泄露。
2. 测试步骤
2.1 准备工作
- IOS 测试机
- 同步助手(如:爱思助手)
2.2 连接设备
将测试机通过数据线与电脑连接,然后打开同步助手,在「工具箱」下找到「实时日志」(因系统版本和软件不同,界面可能存在差异)。
2.3 测试数据
在打开实时日志后,使用测试机中对目标 APP 进行相关的测试,比如:在登录页面输入账号密码,看实时日志是否有显示。
下图就是我在测试中遇到存在问题的应用,可以发现实时日志中显示出了我们输入的密码且是明文,那么这样就会造成敏感信息的泄露。
除此之外,还可能存在着敏感地址的泄露,个人敏感信息的泄露等等,总之,要多观察测试中产生的日志情况。
3. 修复建议
禁止在日志中抛出应用敏感信息。
若有收获,就点个赞吧
0 人点赞
