Pull to refresh

Comments 11

Не думал даже что от sql-инъекций может быть какой то толк в Android.
Но посмотрев несколько БД был очень удивлен почему мало кто обращает на это внимание.
Немного не по теме, но вот наглядный пример халатности:
Evernote хранит ваши заметки в открытом виде на карте памяти в папочку sdcard/Evernote.
Был неприятно удивлен подобному функционалу.
Я, и наверное не только я, писал им об этом в саппорт, просил прикрутить какие-нибудь шифрование. Только воз и ныне там, писал я уже больше года назад.

Выручает шифрование карты памяти и внутреннестей телефона в таких случаях.
Можно даже создать отдельную шифрованную ОС Android на устройстве. Со своими контактами, смс и т.д.
Я так и сделал на своем S3. Система на внешней sd карте живущая — польностью шифруется (через dm-crypt / cryptsetup ). Т.е. есть два независимых окружения — живущее на внутренней sd, и живущее на внешней sd, никак меж собой не связанные. Сделано через самоделки всякие (github.com/quarck/csetup), выбор что грузить — при старте устройства. Удобно еще и тем, что можно поменять sd карту, и получить совершенно другой environment, например для тестирования чего-либо.
Походу, ты заработал от Тохи бутылку виски :)
Мужик :)
А я все никак не наработаю на нее :)
Не знаю как на остальных Android'ах, но на моём 2.3.3 стандартный браузер падает от простого переполнения переменной.
Что-то вроде этого:

var a=''; //String
for(var i=1;i<=500000;i++){var a='A'+a+a+a};


И все. Я даже gdb на Android поставил, пока узнавал, почему же падает :)
Ну так а вектор атаки-то какой? Предложить пользователю сделать SQL-инъекцию на своём собственном устройстве? (Что-то навроде классического способа размножения вирусов под Linux — «Ух ты, вирус? Дай посмотреть» :-) )
Пример «атакующего» кода, который будет проводить sql-запросы к БД, я указал в статье. А уж как его встроить и реализовать запуск: по кнопке, по времени или команде из сети, — решать Вам.
Sign up to leave a comment.

Articles