Missing or Improper Logging of Activities

از Secure Coding

آسیب‌پذیری Missing or Improper Logging of Activities به معنای عدم یا ناصحیح بودن فرایند ثبت وقایع در برنامه‌های دسکتاپ است. این آسیب‌پذیری به دلیل ناهماهنگی در فرایند ثبت وقایع برنامه و تلاش برای مخفی کردن فعالیت‌های مشکوک توسط برنامه ناشی می‌شود.

به عنوان مثال، فرض کنید یک برنامه دسکتاپ برای ارسال پست الکترونیکی به کاربران خود استفاده می‌کند. اگر این برنامه به‌درستی از فرایند ثبت وقایع استفاده نکند، می‌تواند به حملات سایبری و دزدیده شدن اطلاعات کاربران منجر شود.

در زیر یک نمونه کد C آسیب‌پذیر به دلیل عدم ثبت وقایع در برنامه آورده شده است:

#include <stdio.h>

int main()
{
    char username[20], password[20];
    printf("Enter username: ");
    scanf("%s", username);
    printf("Enter password: ");
    scanf("%s", password);

    if (strcmp(username, "admin") == 0 && strcmp(password, "password") == 0) {
        printf("Login successful\n");
    } else {
        printf("Login failed\n");
    }

    return 0;
}


در کد بالا، برنامه در هنگام ورود به سیستم، ورودی کاربران را دریافت می‌کند و با استفاده از تابع strcmp، آنها را با مقادیر پیش‌فرض "admin" و "password" مقایسه می‌کند. اگر مقادیر ورودی با مقادیر پیش‌فرض مطابقت داشته باشند، پیام "Login successful" چاپ می‌شود و در غیر این صورت پیام "Login failed" چاپ می‌شود.

در کد بالا، عدم استفاده از یک فرایند صحیح ثبت وقایع باعث می‌شود که اطلاعات مربوط به نام کاربری و گذرواژه در هنگام ورود به سیستم به درستی ثبت نشوند.