Credentials exposed in logs

ログに認証情報が露出している

リスク: medium

説明

開発段階においてすべての情報をロギングすることは有用かもしれませんが、機密性の高いユーザーデータやシステム情報が潜在的な攻撃者に誤って露出しないように、製品を出荷する前にロギングレベルを適切に設定することが重要です。

推奨事項

アプリケーションのログから認証情報が漏洩するのを防ぐため、以下を検討してください：

• ロギングフレームワークやシステムが、パスワードや API キーなどの機密情報をログに含めないようにします。機密データがログに記録されていないかコードをレビューしてください。
• 本番環境のアプリケーションで機密情報がログに記録されるのを避けるため、ロギングレベルを debug に設定します。
• アプリケーションを本番環境にデプロイする前に、デバッグログファイルを削除します。
• ソフトウェアがデバッグ状態から本番環境へ移行する際に、構成を適切に調整します。
• アプリケーションをデプロイする前に、テスト用の認証情報やハードコードされた認証情報をすべて削除します。

リンク

• CWE-200: Information Exposure
• CWE-359: Exposure of Private Information ("Privacy Violation")
• DRD04-J. Do not log sensitive information
• ERR02-J. Prevent exceptions while logging data
• ロギングメソッド ( Log sparingly )

標準

• OWASP_MASVS_L1:
  • MSTG_STORAGE_3
• OWASP_MASVS_L2:
  • MSTG_STORAGE_3
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_2
  • REQ_3_3
  • REQ_6_2
  • REQ_10_3
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_2
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5