Credentials exposed in logs
日志中暴露凭证
描述
虽然记录所有信息在开发阶段可能会有所帮助,但在产品发布前务必适当地设置日志记录级别,以免将敏感的用户数据和系统信息意外暴露给潜在的攻击者。
建议
为了避免在应用程序日志中泄露凭证,请考虑以下事项:
- 确保您的日志框架或系统未在日志中包含密码或 API 密钥等敏感信息。检查您的代码,看是否记录了任何敏感数据。
- 将日志级别设置为 debug,以避免在生产环境中记录敏感信息。
- 在将应用程序部署到生产环境之前,删除调试日志文件。
- 当软件从调试状态过渡到生产状态时,进行适当的配置调整。
- 在部署应用程序之前,删除任何测试凭证或硬编码的凭证。
链接
- CWE-200: Information Exposure
- CWE-359: Exposure of Private Information ("Privacy Violation")
- DRD04-J. Do not log sensitive information
- ERR02-J. Prevent exceptions while logging data
- 日志记录方法 ( Log sparingly )
标准
- OWASP_MASVS_L1:
- MSTG_STORAGE_3
- OWASP_MASVS_L2:
- MSTG_STORAGE_3
- PCI_STANDARDS:
- REQ_2_2
- REQ_3_2
- REQ_3_3
- REQ_6_2
- REQ_10_3
- OWASP_MASVS_v2_1:
- MASVS_STORAGE_2
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5