安全测试-数据安全测试(2)

已于 2022-08-01 16:43:09 修改
阅读量3.3k 收藏 3
点赞数 1
分类专栏: app安全测试 文章标签: 数据库 sqlite android
于 2022-08-01 16:40:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34381178/article/details/126017985
版权

目录

  前言

一、环境准备

1.1 模拟器软件下载

1.2 账号登录注册

1.3 版本选择

二、获取 SQLite 文件

Android

三、查看 SQLite 文件

四、SQLite 数据安全

4.1SQL 注入

4.2预防 SQL 注入

  前言

         捣鼓了那么久,终于整理出来了,可能中间会出现一些波折和各种因素,但遇到了咱就积极面对积极解决。经资料说明AndroidApp 本地数据存储是使用SQLite 数据库,SQLite 是遵守 ACID 的关系数据库管理系统, 它包含在一个相对小的 C 程序库中。与许多其它数据库管理系统不同,SQLite 不是一个 /服务器结构的数据库引擎,而是被集成在用户程序中。SQLite 查询看起来或多或少像 SQL 一样。  Android 中选择SQLite 的原因是其内存占用较低,也不需要设置或配置数据库,并且可以在 用程序中直接调用。这里只是简单的介绍,后续会进行更详细的项目操作。

一、环境准备

设备:模拟器(Genymotion)【备注:不建议使用真机,因为真机可能会遇到一些环境导致的问题,但有兴趣的小伙伴可以挑战一下】

1.1 模拟器软件下载

模拟器(Genymotion)下载:

https://pan.baidu.com/s/1Qhdc_prrgJa3uwc3oxQjaQ?pwd=abcd 
提取码:abcd

1.2 账号登录注册

Genymotion 需要账号登录,因此我们需要去官网创建账号,因此可以登录软件,去一下连接创建账号:Account Creation – Genymotion Android Emulator

1.3 版本选择

账号创建好后,回到刚刚装好的Genymotion 软件,输入账号密码,点击Next ,选择personal use,继续next即可使用个人版了。

1.4 模拟器真机配置

 

 

这就ok了哈

二、 SQLite 文件

Android

 SQLite 数据库默认在 Android 中存储在/data/data/[package name]/databases/位置,扩展名为.db 件,注意 Android 设备需要 root

1. 进入设备的/data/data 目录,查找对应的测试包。

命令:

检查真机是否连接adb:adb devices

进入shell:adb shell

进入对应的文件夹目录:cd /data/data

 2. 这里我们获取包 com.global.cy.blanco db 文件。进入包文件 databases 目录内部可以看到 db 文件。

命令:

进入对应的包:cd com.global.cy.blanco

查看文件:ls

进入数据库文件夹:cd databases/

查看文件:ls

退出:exit

把对应的文件下载到本地桌面:

adb pull /data/data/com.tal.kaoyan/databases/future_db.db C:\Users\86181\Desktop

三、 SQLite 文件

 db 文件后我们可以使用DB Browser for SQLite 来查看数据内容。

下载地址:Downloads - DB Browser for SQLite 根据自己的系统版本来选择安装即可

1. 启动应用,然后依次点击菜单:文件->打开数据库选择我们导出的 future_db.db 即可 看数据库表结构和内容。

2. 点击浏览数据菜单可以查看表具体数据内容。

 3. 点击执行 SQL菜单可以输入 SQL 命令来进行数据的增删改查

四、SQLite 数据安全

4.1SQL 注入

如果通过应用获取用户输入的数据并将其插入SQLite 数据库,那么就有可能发生 SQL 注入 击的安全问题。

SQL 注入就是通过把 SQL 命令插入到 表单提交或输入域名的查询字符串,最终达到欺骗服 务器执行恶意的 SQL 命令

比如有一个表单,用户可以输入 name

<?php

$name = $_GET['name'] ;

$dbh->query("SELECT * FROM users WHERE name='{$name}'") ;

那么当用户输入的 name Python'; DELETE FROM user; 时会变成什么?

SELECT * FROM users WHERE name='Python'; DELETE FROM user;'' ;

这条语句运行一下,会发现什么?  我们的 user 表被清空。

4.2预防 SQL 注入

SQL 注入,我们需要注意以下几个要点:

1. 永远不要信任用户的输入。

2. 对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双引号 进 行转换等

3. 永远不使用动态拼装 SQL ,可以使用 SQL 预处理语句。

4. 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库 连接

5. 不要把机密信息直接存放,加密或者 hash 掉密码和敏感的信息。

6. 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误 信息进行包装。

测试不止点点点
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
移动应用安全测试方法总结
weixin_33928467的博客
06-09 378
1.软件权限1)扣费风险:包括短信、拨打电话、连接网络等。2)隐私泄露风险:包括访问手机信息、访问联系人信息等。3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测4)限制/允许使用手机功能接入互联网5)限制/允许使用手机发送接收信息功能6)限制或使用本地连接7)限制/允许使用手机拍照或录音8)限制/允许使用手机读取用户数据9...
知识单元7 数据安全测试
qq_68920288的博客
01-03 591
回收系统中已存在用户xiaoming在表tbcourse上的SELECT权限,以下正确的语句是()。给用户liping分配对数据库teaching中的student表的查询和插入数据权限的语句是()。一个用户可以分配多个角色,一个角色也可以分配给多个用户,即用户和角色间是( )的关系。一个用户可以分配多个角色,一个角色也可以分配给多个用户,即用户和角色间是一对多的关系。加密的基本思想是根据一定的算法将( )加密成为密文,数据以密文的形式存储和传输。
2023年网络安全竞赛B模块专项练习题(ALL)
旺仔Sec&blog
06-02 3576
中职网络安全技能竞赛B模块任务汇总合集
什么是大数据测试?有哪些类型?应该怎么测?
测试界的彭于晏的博客
08-16 998
随着目前世界上各个国家使用大数据应用程序或应用大数据技术场景的数量呈指数增长,相应的,对于测试数据应用时所需的知识与大数据测试工程师的需求也在同步增加。针对大数据测试的相关技术已慢慢成为当下软件测试人员需要了解和掌握的一门通用技术。
安全测试
weixin_68789096的博客
04-19 141
功能验证是采用当中的方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫站中做到“有的放矢”,及时修补漏洞。
信息安全与渗透测试-网络安全
04-23
它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理、编程语言、算法设计等。同时,人工智能、云计算和...
Android应用安全测试工具-Drozer
06-26
支持自动化拦截和修改应用程序数据传输,帮助安全测试人员识别和利用应用程序中的漏洞。 基于Java和Python语言的API,支持与其他安全测试和攻击工具的集成。 支持多种攻击场景模拟,包括跨站点脚本攻击,SQL...
移动应用安全检测-系统测试用例-V1.01
08-08
- 静态扫描发起:这是安全检测的第一步,通过不运行应用,仅分析其代码和资源文件,查找可能存在的安全漏洞,如异常处理不当、权限过度申请、数据明文存储等。 - 特征扫描:识别应用中可能存在的恶意行为特征,如...
基因识别数据安全要求-参考文件
04-04
本文件适用于基因识别数据控制者安全开展基因识别数据相关业务,也适用于第三方测评机构开展测试评估工作。 使用技术手段,从人类遗传物质中提取的表征个体或群体遗传信息的数据,该数据可以直接或间接识别到人类...
Sandboxie Plus v1.13.7 2024-沙盘-程序多开-虚拟环境-病毒测试-安全工具-沙盘环境
最新发布
05-17
Sandboxie Plus 是一款强大...通过这种方式,你可以保护系统免受恶意软件和其他潜在威胁的侵害,同时还能安全地进行软件测试和开发。Sandboxie Plus 提供了用户友好的界面和高级功能,确保你的系统始终保持安全和稳定.
信息安全试题答案(题库)完整版
11-04
信息安全试题答案(题库)
数据如何进行测试
雨水的早晨的博客
09-02 6813
数据测试通常是指对采用大数据技术的系统或者应用的测试。大数据测试可以分成两个维度,一个维度是数据测试,另一个维度是大数据系统测试和大数据应用产品测试。大数据测试和传统数据测试的不同对比项大数据测试传统数据测试数据量级需要处理的数据量级较高设计的数据量级较低数据结构处理的数据包括结构化数据、非结构化数据、和半结构化数据以结构化数据为主验证工作验证环节多,数据量大,较复杂抽取数据来验证,相对简单环境要求依赖HDFS、YARN和Zookeeper等集群环境依赖传统数据测试工具。
安全风险测试评估开启“证无”,打通数据安全最后一公里
CSDN云计算
04-10 339
在政策法规、勒索病毒、特种攻击等的多重影响下,政企用户的价值导向正由“形式合规”转向“实质合规”。
python检查密码安全等级_密码安全性等级评估.py
weixin_39527078的博客
12-21 686
#Password security evaluation(密码安全性评估)Alpha = 'abcdefghijklmnopqistuvwxyzQWERTYUIOPASDFGHJKLZXCVBNM'Digit = '0123456789'Symbols = ',./\_*+-@#%!'password = input('请输入你的密码:')lenths = len(password)while ...
数据库第五次试验:数据库的安全
sjx3161的博客
03-04 6847
数据库第五次试验:数据库的安全性前言一、实验目的二、实验要求三、实验原理、方法和手段四、实验组织运行要求五、实验条件六、实验步骤七、思考题八、实验报告 前言 为了帮助同学们完成痛苦的实验课程设计,本作者将其作出的实验结果及代码贴至CSDN中,供同学们学习参考。如有不足或描述不完善之处,敬请各位指出,欢迎各位的斧正! 一、实验目的 1、使学生掌握自主存取控制权限的定义和维护方法,加深对数据安全性的理解。 2、掌握数据库的备份与还原操作。 二、实验要求 1、访问权限设置。 2、数据库的备份还原。 三、实验原理、
安全测试(三)--数据安全检查点
KerryRuan的专栏
04-06 5309
(三) 数据安全检查点   1. 系统数据是否加密 尽量不要使用sa 账号严格控制数据库用户的权限,不要轻易给用户直接的查询\更改\插入\删除的权限数据库的账号和密码(还有端口号),是不是直接写在配置文件里未进行加密   2. 系统数据的完整性   3. 系统该数据的可管理性   4. 系统数据的独立性   5. 系统数据的可备份和恢复能力 服务器突然断
基于等保2.0的数据安全测评技术研究
shipinginfo的博客
12-11 507
2019年12月9日,由公安部网络安全保卫局指导,公安部第三研究所和信息安全测评联盟联合主办的第九届全国网络安全等级保护测评体系建设会议在福建省福州市召开。来自福建省公安厅、公安部十一局等单位领导以及全国180余家测评机构代表共计600余人参加了会议。 会议首先由福建省公安厅许耀鹏副厅长、公安部十一局郭启全总工程师致辞。 本次大会着重围绕深入了解掌握国家网络安全政策和决策...
监测-数据安全
The code way of kinnisoy
04-12 987
恶意软件 特征:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、其他侵犯用户知情权选择权等 应对: 使用可靠的软件商店或下载网站 用户谨慎下载,同时下载的时候仔细考量应用 不接受数据的时候,关闭蓝牙和WiFi 给自己网络设置复杂密码 给手机电脑安装各种杀毒软件和防护软件 撞库攻击 强力爆破法、字典法(撞库攻击) 防范: 不要使用手机号作为登录名 ...
测试总结——大数据测试
sydjcwx
12-17 867
数据测试学习总结
网约车业务数据安全测试
05-25
网约车业务数据安全测试通常包括以下几个方面: 1. 数据加密测试测试网约车平台是否对用户的个人信息、支付信息等进行了加密处理,以防止敏感信息泄露。 2. 权限控制测试测试网约车平台是否对用户信息的访问权限进行了限制,确保只有授权的人员才能接触到相关数据。 3. 网络安全测试测试网约车平台是否有防火墙、反病毒软件等安全措施,以防止黑客攻击和数据泄露。 4. 应用程序安全测试测试网约车平台的应用程序是否存在安全漏洞,如SQL注入、跨站点脚本攻击等,以确保用户数据安全性。 5. 数据备份与恢复测试测试网约车平台是否对用户数据进行备份,并能够在系统出现故障时进行快速恢复,以确保用户数据不会丢失。 综上所述,网约车业务数据安全测试是非常重要的,可以帮助保护用户的隐私和资金安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值