检测目的:检测应用是否存在数据库注入漏洞。
重要等级:高
危害:SQL注入攻击指通过构建特殊的输入作为SQL的查询参数传入应用程序,从而欺骗应用程序执行恶意的SQL命令。Android应用开发时,如果开发者使用拼接字符串形式构造的SQL语句去查询底层SQLite数据库时,则容易发生SQL注入。攻击者可以利用此漏洞攻击应用的本地数据库,导致存储的敏感数据信息被查询泄露,例如用户名、密码等,或者产生查询异常导致应用崩溃。
检测详情【12】条如下:
io/dcloud/common/util/db/DCStorage.java
io/dcloud/common/util/db/DCSQLiteOpenHelper.java
com/igexin/push/a/b.java
com/taobao/weex/appfram/storage/WXSQLiteOpenHelper.java
com/zx/a/I8b7/b3.java
com/zx/a/I8b7/a.java
com/getui/gtc/base/db/AbstractDb.java
com/getui/gtc/base/db/AbstractTable.java
com/dcloud/android/downloader/db/DefaultDownloadDBController.java
com/dcloud/android/downloader/db/DefaultDownloadHelper.java
com/tencent/bugly/idasc/a.java
com/tencent/bugly/idasc/proguard/q.java
敏感信息加密并写入数据库中。
0 个回复