Lab 2: Logowanie & Wyciek sekretów - poprawki

[igamiron]

Zakres prac

1. Weryfikacja logów aplikacji

• Przetestowano aplikację, wykonując wszystkie dostępne akcje
• W logach wykryto dane wrażliwe (PESEL, adres)
• Dodano mechanizm maskowania danych wrażliwych bez zmiany formatu logów, maskowanie [**]

2. Skan repozytorium (gitleaks)

• Uruchomiono skan: gitleaks detect
• Zweryfikowano wyniki:
  • usunięto potencjalne sekrety

3. Analiza zależności (safety)

• Uruchomiono skan bezpieczeństwa bibliotecznych zależności
• Wybraną podatnością o najwyższym poziomie krytyczności była podatność w pakiecie Werkzeug (raport Safety). Dotyczy ona możliwości nadużyć związanych z nieprawidłowym przetwarzaniem ścieżek oraz zachowania serwera w trybie debug. Po analizie kodu stwierdzono, że podatna funkcjonalność nie jest wykorzystywana. Aplikacja nie uruchamia się w trybie debug, nie przetwarza zewnętrznych ścieżek i nie korzysta z mechanizmów prowadzących do tej podatności.
• Po analizie stwierdzono, że podatna funkcjonalność nie jest wykorzystywana w aplikacji, więc ryzyko realnego wykorzystania jest niskie

Podsumowanie

PR zawiera:

• maskowanie danych w logach
• usunięcie potencjalnych sekretów wykrytych przez gitleaks
• analizę jednego podatnego pakietu o najwyższej krytyczności