如何在未越狱的 iphone 5 上对 iOS 应用程序执行 sql 注入测试?

【问题标题】:How to perform sql injection test on an iOS app on a non-jail broken iphone 5?如何在未越狱的 iphone 5 上对 iOS 应用程序执行 sql 注入测试?
【发布时间】:2015-02-25 11:16:24
【问题描述】:

我最近参与了 iOS 应用的安全测试。该应用在 iPhone 5 上的 iOS 上运行。此应用类似于 "bookmyshow" 应用,用户可以在其中预订在城市各个地方发生的活动。

我需要执行 sql 注入测试并报告安全错误(如果有)。我对这项任务一无所知。任何帮助将不胜感激。

注意:设备为普通iphone 5,越狱设备不可用。

提前致谢,

新手_学生

【问题讨论】:

  • 您要在哪个数据库上执行此操作?它在哪里?
  • @Niko - 该应用程序安装在我的 iOS 5 上。我不确定该应用程序使用的数据库或它的位置。我可能听起来很新手,但我所拥有的只是安装了此应用程序的 iphone 5。你能告诉我如何知道数据库及其在我手机上的位置吗?

标签: ios iphone testing sql-injection security-testing


【解决方案1】:

您可以阅读以下文档:

你必须知道你需要检查什么。这是有用的图片:

该应用程序安装在我的 iOS 5 上。我不确定数据库 此应用程序正在使用或位于何处。我可能听起来很 新手,但我只有这个安装了这个应用程序的 iphone 5。可以 请让我知道如何了解数据库及其在我的位置 电话? 我需要执行 sql 注入测试并报告安全错误(如果有)。

我认为您需要检查是否存在 sql 注入。在图像上它在右侧。

您可以简单地连接到 wi-fi 网络,您的服务器/计算机可以在其中记录来自您的应用的请求。例如,使用一些 HTTP 代理/HTTP 监视器,使您能够查看应用程序和 Internet 之间的所有 HTTP 和 HTTPS 流量。第一个链接有工具。

【讨论】:

  • 感谢您的 cmets 兄弟。大多数工具都需要越狱设备。但正如我之前提到的,在我的情况下不允许越狱。就流量而言,我可以使用 Fiddler 工具查看请求和响应数据。但我不知道如何从这一点上检查 sql 注入。
  • 这是如何使用 Charles 捕获 iPhone 和 iPad 网络流量的示例:moncefbelyamani.com/… PS:您可以在 Windows/Linux/MacOs 上使用另一个代理
  • 这对 Valeriy 很有帮助,现在我能够捕获流量,您能否指导我如何执行 sql 注入检查
  • 您必须知道应用程序代码如何访问服务器。也许这是json。那么你需要检测所有可能的变量并发送你的 sql 注入。也许连接此应用程序的站点具有 github 之类的 api。附解释:developer.github.com/v3
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2012-06-24
  • 2012-03-22
  • 2012-08-26
  • 2011-01-04
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode