欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

深入浅出Android应用服务端安全漏洞之SQL注入漏洞与文件上传漏洞

来源:本站整理 作者:佚名 时间:2016-12-01 TAG: 我要投稿

 在前三周的时间里,蒲公英为大家简要介绍了Android应用APP端的常见漏洞,它们分别是:

Android 开发 APP 端常见安全漏洞解读——敏感信息泄露漏洞

深入浅出 App 端安全漏洞之备份功能开启及本地拒绝服务漏洞

深入浅出 App 端安全漏洞之任意调试漏洞、中间人劫持漏洞及加密算法漏洞

从本周开始,蒲公英将会为大家带来Android应用服务端的常见漏洞。

由于移动互联网行业的发展,目前大量服务已从传统的PC端扩展到移动端,但是几乎所有数据还是通过连接服务端来进行处理的,服务端其实就是给客户端提供了处理数据的接口,所以还需要对进入服务端的数据进行强有效的安全校验,来保证服务端数据的安全。另外,现在很常见的运作方式是移动端由APP来处理业务,PC端由网站来处理业务,这就更增加了业务所面临的风险。

理论上,Web服务器所有安全问题也会出现在APP的服务端。由于Web安全已经发展了很长时间,研究人员、黑客也很多,技术成熟,更容易被黑客发现漏洞。

那么下面就开始简要介绍一下服务端常见的一些漏洞:

SQL注入漏洞

SQL注入是攻击数据库最常用的手段,这种漏洞存在的时间也是最长的,危害也很大。产生漏洞的原因就是程序没有判断用户输入的数据,就带入数据库了,就使数据库存在安全隐患。

SQL注入漏洞能导致用户信息泄露,被不法分子出售、诈骗等,也可能破坏数据、导致数据缺乏可审计性,或者是拒绝服务,有时甚至能导致完全接管主机,危害内网安全。

很多人会诧异这种上个世纪就存在的漏洞现在依然会存在吗?蒲公英告诉你,是的。

大家可以看下面几个案例:

1号社区App存在SQL注入漏洞

URL:
http://eshop.yihao01.com/basedata/api/getUnitListByCity?cityCode=610900&sign=50E09B39C916C1C3A06506EBDBBC0427&v=2.4.0&pageNumber=0&pageSize=10&ttid=1

存在注入的参数:cityCode Number pageSize


 

 

 

获取权限后直接进入了管理后台

米途App某处存在SQL注入漏洞

URL:
http://wx.miot.cn/i-21898?from=timeline&innid=21898&isappinstalled=0
存在漏洞的参数:innid


 

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载