Hello there, ('ω')ノ
🧪 使用する診断対象アプリ(前回と同様)
- アプリ名:NotepadApp(架空の脆弱なメモ帳アプリ)
- 特徴:ログインなし、メモ保存、共有機能あり
- 想定する通信先:外部のメモ保存API(HTTP経由)
✅ 今回の診断ポイント
| 項目 | チェック内容 |
|---|---|
| Logcat出力 | 機密情報やユーザー入力がログに出ていないか? |
| 通信プロトコル | HTTPSが使われているか?HTTPになっていないか? |
| 通信内容 | パスワード、メモの内容、トークンなどが平文で送信されていないか? |
| サーバー応答 | 想定外の情報(内部構造やエラーメッセージなど)を含んでいないか? |
🛠 Step 1:Logcatでログ出力の確認
まずはAndroidのログ出力を監視します。
adb logcat | grep -i note
見つけたログの例:
D/NoteManager: 保存されたメモ内容 → クレジットカード番号:1234-5678-9012-3456 I/NoteManager: メモ保存成功(ID: 87512) W/NoteManager: 保存処理中にエラー(NullPointerException)
👉 ログに個人情報や機密情報が出力されているのは大問題
→ 本番ビルドでは出力を抑えるか、BuildConfig.DEBUGで制御することが必須です。
🛠 Step 2:Burp Suiteを使って通信を確認
この続きはcodocで購入
