Github项目地址:DIVA
DIVA(Damn insecure and vulnerable App)是故意设计为不安全的应用程序。我们正在发布Android版本的Diva。我们认为这是通过向安全社区做出贡献来开始新的一年的好方法。该应用程序的目的是向开发人员/质量保证/安全专业人员传授由于不良或不安全的编码习惯而在应用程序中普遍存在的缺陷。如果您正在阅读本文,则想学习App渗透测试或安全编码,我衷心希望DIVA能解决您的问题。因此,请坐下来享受旅程。
目标:尝试在不知道任何用户名的情况下访问所有用户的数据。默认情况下有三个用户,您的任务是通过一次恶意搜索输出所有三个用户的数据。
提示:当输入在使用前未被过滤或验证时,会出现不正确或无输入验证问题。当开发从外部获取输入的组件时,请始终验证它。为了便于测试,数据库中已经存在三个用户,例如其中一个是admin,您可以尝试搜索admin来测试输出。
将一些敏感信息作为日志记录,输出到控制台
android应用用java语言编写。android sdk工具编译代码(包括任意数据以及资源文件)为apk文件:一种android包,以.apk为后缀的存档文件。一个apk文件包含android应用所有文件,也是android设备的应用安装文件