Credentials exposed in logs

Informations d'Identification Exposées dans les Logs

Risque : medium

Description

Bien que la journalisation de toutes les informations puisse être utile pendant les phases de développement, il est important que les niveaux de journalisation soient configurés de manière appropriée avant la mise en production d'un produit, afin que les données sensibles des utilisateurs et les informations système ne soient pas accidentellement exposées à des attaquants potentiels.

Recommandation

Pour éviter la fuite d'informations d'identification dans les logs de l'application, considérez les points suivants :

• Assurez-vous que votre framework ou système de journalisation n'inclut pas d'informations sensibles comme des mots de passe ou des clés d'API dans les logs. Examinez votre code pour vérifier si des données sensibles sont journalisées.
• Définissez les niveaux de journalisation sur "debug" (débogage) pour éviter que des informations sensibles ne soient journalisées dans l'application en production.
• Supprimez les fichiers de logs de débogage avant de déployer l'application en production.
• Ajustez les configurations de manière appropriée lorsque le logiciel passe d'un état de débogage à un état de production.
• Supprimez toutes les informations d'identification de test ou codées en dur avant de déployer l'application.

Liens

• CWE-200: Information Exposure
• CWE-359: Exposure of Private Information ("Privacy Violation")
• DRD04-J. Do not log sensitive information
• ERR02-J. Prevent exceptions while logging data
• Méthodes de journalisation ( Log sparingly )

Normes

• OWASP_MASVS_L1:
  • MSTG_STORAGE_3
• OWASP_MASVS_L2:
  • MSTG_STORAGE_3
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_2
  • REQ_3_3
  • REQ_6_2
  • REQ_10_3
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_2
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5