我正在使用cordova插件检查基于Ionic 3的项目cordova-plugin-iroot中的植根设备
我已经实现了此插件功能IRoot.isRooted(),以检查设备是否已植根。
但是在Veracode应用程序安全报告中,出现了中级问题
CWE 117对日志的输出中和不当
函数调用可能导致日志伪造攻击。写作不受信任 将数据存储到日志文件中,使攻击者可以伪造日志条目或注入 将恶意内容放入日志文件。损坏的日志文件可用于覆盖 攻击者的足迹或作为攻击日志的传递机制 查看或处理实用程序。例如,如果网络管理员使用 基于浏览器的实用程序来查看日志,跨站点脚本攻击可能是 可能。
使用以下路径QLog.java文件,该文件具有此iRoot插件使用的内部日志记录。
com / scottyab / rootbeer / util / QLog.java 48
com / scottyab / rootbeer / util / QLog.java 47
com / scottyab / rootbeer / util / QLog.java 82
文件路径
由于它是插件的内部文件,并且以打字稿代码创建的iRoot对象没有直接访问此文件变量的权限,我如何禁用这些日志,以阻止应用程序安全测试中的此错误。