Insecure Logging
Dari hasil static analysis yang dilakukan menggunakan tool Jadx ini, didapatk informasi bahwa aplikasi akan menampilkan data sensitif pada log aplikasi yaitu data JWT akun admin. Detailnya dapat dilihat pada gambar dibawah ini.
Untuk memastikannya, apakah data tersebut benar ditampilkan pad logging aplikasi dapat mengugnakan perintah berikut.
adb logcat | grep $(adb shell ps | grep {identifier_name} | awk ‘{print $2}’)
Dan terlihat token JWT milik akun admin ditampilkan pada logging aplikasi.
Dan terlihat token JWT tersebut valid ketika dicoba digunakan untuk melakukan request terhadap salah satu endpoint yang ada.
Thanks, Stay Ethical & Happy Hacking! 🍻
Last updated