Insufficient Logging 跟 Omission of Security-relevant Information的概念相似,都是log紀錄不足的弱點,主要的區別在於Omission of Security-relevant Information比較接近有紀錄,但記載的詳細程度不足、紀錄內容過少等等,而Insufficient Logging則是程式在重要功能上完全沒有做紀錄log的規劃、或是根本沒開啟log紀錄的功能等等,導致什麼軌跡也沒有留下來。
範例如下,無論登入成功或失敗,都不會留下軌跡
if LoginUser(){
// Login successful
RunProgram();
} else {
// Login unsuccessful
LoginRetry();
}
iThome鐵人賽
看影片追技術