国产精品无码一区二区三区太,亚洲一线产区二线产区区别,欧美A区,人妻jealousvue人妻

×

APP被攻擊導(dǎo)致數(shù)據(jù)篡改泄露 如何滲透測(cè)試漏洞與修復(fù)解決

  • 作者:sdfcsd
  • 來(lái)源:互聯(lián)網(wǎng)
  • 瀏覽:100
  • 2020-02-06 16:01:20

APP滲透測(cè)試目前包含了Android端+IOS端的漏洞檢測(cè)與安全測(cè)試,前段時(shí)間某金融客戶的APP被黑客惡意攻擊,導(dǎo)致APP里的用戶數(shù)據(jù)包括平臺(tái)里的賬號(hào),密碼,手機(jī)號(hào),姓名都被信息泄露,通過(guò)老

APP滲透測(cè)試目前包含了Android端+IOS端的漏洞檢測(cè)與安全測(cè)試,前段時(shí)間某金融客戶的APP被黑客惡意攻擊,導(dǎo)致APP里的用戶數(shù)據(jù)包括平臺(tái)里的賬號(hào),密碼,手機(jī)號(hào),姓名都被信息泄露,通過(guò)老客戶的介紹找到我們SINE安全公司尋求安全防護(hù)上的技術(shù)支持,防止后期APP被攻擊以及數(shù)據(jù)篡改泄露等安全問(wèn)題的發(fā)生。針對(duì)于客戶發(fā)生的網(wǎng)站被黑客攻擊以及用戶資料泄露的情況,我們立即成立了SINE安全移動(dòng)端APP應(yīng)急響應(yīng)小組,關(guān)于APP滲透測(cè)試的內(nèi)容以及如何解決的問(wèn)題我們做了匯總,通過(guò)這篇文章來(lái)分享給大家。

首先要了解客戶的情況,知彼知己百戰(zhàn)不殆,客戶APP架構(gòu)開發(fā)是Web(php語(yǔ)言)+VUE框架,服務(wù)器采用的是Linux centos系統(tǒng),數(shù)據(jù)庫(kù)與WEB APP端分離,通過(guò)內(nèi)網(wǎng)進(jìn)行傳輸,大部分金融以及虛擬幣客戶都是采用此架構(gòu),有的是RDS數(shù)據(jù)庫(kù),也基本都是內(nèi)網(wǎng)傳輸,杜絕與前端的連接,防止數(shù)據(jù)被盜,但是如果前端服務(wù)器(APP)存在漏洞導(dǎo)致被黑客攻擊,那么攻擊者很有可能利用該服務(wù)器的權(quán)限去遠(yuǎn)程連接數(shù)據(jù)庫(kù)端,導(dǎo)致數(shù)據(jù)泄露,用戶信息被盜取的可能。

然后對(duì)客戶服務(wù)器里的APP代碼,以及網(wǎng)站PHP源文件進(jìn)行代碼的安全審計(jì),以及網(wǎng)站木馬文件的檢測(cè)與清除,包括網(wǎng)站漏洞測(cè)試與挖掘,我們SINE安全都是人工進(jìn)行代碼的安全審計(jì)與木馬檢查,下載了客戶代碼到本地電腦里進(jìn)行操作,包括了APP的網(wǎng)站訪問(wèn)日志,以及APP的Android端+IOS端文件也下載了一份到手機(jī)里。我們?cè)跈z測(cè)到客戶APP里的充值功能這里存在SQL注入漏洞,因?yàn)楸旧砭W(wǎng)站選擇的是thinkphp框架二次開發(fā)的,程序員在寫功能的時(shí)候未對(duì)充值金額的數(shù)值進(jìn)行安全判斷,導(dǎo)致可以遠(yuǎn)程插入惡意的SQL注入代碼到服務(wù)器后端進(jìn)行操作,SQL注入漏洞可以查詢數(shù)據(jù)庫(kù)里的任何內(nèi)容,也可以寫入,更改,通過(guò)配合日志的查詢,我們發(fā)現(xiàn)該黑客直接讀取了APP后臺(tái)的管理員賬號(hào)密碼,客戶使用的后臺(tái)地址用的是二級(jí)域名,開頭是admin.XXXXX.com,導(dǎo)致攻擊者直接登錄后臺(tái)。我們?cè)诤笈_(tái)的日志也找到黑客的登錄訪問(wèn)后臺(tái)的日志,通過(guò)溯源追蹤,黑客的IP是菲律賓的,還發(fā)現(xiàn)后臺(tái)存在文件上傳功能,該功能的代碼我們SINE安全對(duì)其做了詳細(xì)的人工代碼安全審計(jì)與漏洞檢測(cè),發(fā)現(xiàn)可以上傳任意文件格式漏洞,包括可以上傳PHP腳本木馬。


攻擊者進(jìn)一步的上傳了已預(yù)謀好的webshell文件,對(duì)APP里的網(wǎng)站數(shù)據(jù)庫(kù)配置文件進(jìn)行了查看,利用APP前端服務(wù)器的權(quán)限去連接了另外一臺(tái)數(shù)據(jù)庫(kù)服務(wù)器,導(dǎo)致數(shù)據(jù)庫(kù)里的內(nèi)容全部被黑客打包導(dǎo)出,此次安全事件的根源問(wèn)題才得以明了,我們SINE安全技術(shù)繼續(xù)對(duì)該金融客戶的APP網(wǎng)站代碼進(jìn)行審計(jì),總共發(fā)現(xiàn)4處漏洞,1,SQL注入漏洞,2,后臺(tái)文件上傳漏洞。3,XSS跨站漏洞,4,越權(quán)查看其它用戶的銀行卡信息漏洞。以及APP前端里共人工審計(jì)出6個(gè)網(wǎng)站木馬后門文件,包含了PHP大馬,PHP一句話木馬,PHP加密,PHP遠(yuǎn)程調(diào)用下載功能的代碼,mysql數(shù)據(jù)庫(kù)連接代碼,EVAL免殺馬等等。

我們SINE安全對(duì)SQL注入漏洞進(jìn)行了修復(fù),對(duì)get,post,cookies方式提交的參數(shù)值進(jìn)行了安全過(guò)濾與效驗(yàn),限制惡意SQL注入代碼的輸入,對(duì)文件上傳漏洞進(jìn)行修復(fù),限制文件上傳的格式,以及后綴名,并做了文件格式白名單機(jī)制。對(duì)XSS跨站代碼做了轉(zhuǎn)義,像經(jīng)常用到的<>script 等等的攻擊字符做了攔截與轉(zhuǎn)義功能,當(dāng)遇到以上惡意字符的時(shí)候自動(dòng)轉(zhuǎn)義與攔截,防止前端提交到后臺(tái)中去。對(duì)越權(quán)漏洞進(jìn)行銀行卡查看的漏洞做了當(dāng)前賬戶權(quán)限所屬判斷,不允許跨層級(jí)的查看任意銀行卡信息,只能查看所屬賬戶下的銀行卡內(nèi)容。對(duì)檢測(cè)出來(lái)的木馬后門文件進(jìn)行了隔離與強(qiáng)制刪除,并對(duì)網(wǎng)站安全進(jìn)行了防篡改部署,以及文件夾安全部署,服務(wù)器底層的安全設(shè)置,端口安全策略,等等的一系列安全防護(hù)措施。

至此客戶APP滲透測(cè)試中發(fā)現(xiàn)的網(wǎng)站漏洞都已被我們SINE安全修復(fù),并做了安全防護(hù)加固,用戶信息泄露的問(wèn)題得以解決,問(wèn)題既然發(fā)生了就得找到漏洞根源,對(duì)網(wǎng)站日志進(jìn)行溯源追蹤,網(wǎng)站漏洞進(jìn)行安全測(cè)試,代碼進(jìn)行安全審計(jì),全方面的入手才能找出問(wèn)題所在,如果您的APP也被攻擊存在漏洞,不知道該如何解決,修復(fù)漏洞,可以找專業(yè)的網(wǎng)站安全滲透測(cè)試公司來(lái)解決,國(guó)內(nèi)SINESAFE,鷹盾安全,綠盟,啟明星辰,深信服都是比較專業(yè)的、也由衷的希望我們此次的安全處理過(guò)的分享能夠幫到更多的人,網(wǎng)絡(luò)安全了,我們才能放心的去運(yùn)營(yíng)APP。

免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請(qǐng)發(fā)送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。

免費(fèi)咨詢獲取折扣

Loading