DIVA Android - 1.Insecure Logging
DIVA Android - 2.Hardcoding Issues – Part 1
DIVA Android - 3.Insecure Data Storage – Part 1
DIVA Android - 4.Insecure Data Storage – Part 2
DIVA Android - 5.Insecure Data Storage – Part 3
DIVA Android - 6.Insecure Data Storage – Part 4
DIVA Android - 7.Input Validation Issues – Part 1
DIVA Android - 8.Input Validation Issues – Part 2
DIVA Android - 7.Input Validation Issues – Part 1
DIVA Android - 8.Input Validation Issues – Part 2
DIVA Android - 9.Access Control Issues – Part 1
DIVA Android - 10.Access Control Issues – Part 2
DIVA Android - 11.Access Control Issues – Part 3
DIVA Android - 12.Hardcoding Issues – Part 2
DIVA Android - 13.Input Validation Issues – Part 3
「4.Insecure Data Storage – Part 2」對應到的 Activity 是 InsecureDataStorage2Activity,看一下 code 長這樣:DIVA Android - 10.Access Control Issues – Part 2
DIVA Android - 11.Access Control Issues – Part 3
DIVA Android - 12.Hardcoding Issues – Part 2
DIVA Android - 13.Input Validation Issues – Part 3
首先檢查是否已存在「ids2」這個名稱的 DB,沒有就建立一個。
然後檢查有沒有存在「myuser」這個名稱的 Table,沒有就建立一個,同時新增「user」、「password」這兩個欄位。接著把使用者在 ids2Usr、ids2Pwd 欄位輸入的值,新增到 myuser 這張表中。
Save 後我們看一下手機上儲存這支 app 相關資料的路徑,而我們在 databases 中就能看到ids2這個db。
adb pull 把 ids2 拉出來,開啟來看就能發現資料被以明文方式儲存在裡面。
弱點在於敏感資訊沒有加密。
防範方法:敏感資料應加密後再儲存,且應使用安全的加密方式,詳情參考 NIST。
沒有留言:
張貼留言