如何查找APP漏洞并滲透測試 解決網(wǎng)站被黑客攻擊

時間：2020-03-12作者：青島四海通達電子科技有限公司瀏覽：828

APP滲透測試目前包含了Android端+IOS端的漏洞檢測與安全測試，前段時間某金融客戶的APP被黑客惡意攻擊，導(dǎo)致APP里的用戶數(shù)據(jù)包括平臺里的賬號，密碼，手機號，姓名都被信息泄露，通過老客戶的介紹找到我們SINE安全公司尋求安全防護上的技術(shù)支持，防止后期APP被攻擊以及數(shù)據(jù)篡改泄露等安全問題的發(fā)生。針對于客戶發(fā)生的網(wǎng)站被黑客攻擊以及用戶資料泄露的情況，我們立即成立了SINE安全移動端APP應(yīng)急響應(yīng)小組，關(guān)于APP滲透測試的內(nèi)容以及如何解決的問題我們做了匯總，通過這篇文章來分享給大家。

首先要了解客戶的情況，知彼知己百戰(zhàn)不殆，客戶APP架構(gòu)開發(fā)是Web（php語言）+VUE框架，服務(wù)器采用的是Linux centos系統(tǒng)，數(shù)據(jù)庫與WEB APP端分離，通過內(nèi)網(wǎng)進行傳輸，大部分金融以及虛擬幣客戶都是采用此架構(gòu)，有的是RDS數(shù)據(jù)庫，也基本都是內(nèi)網(wǎng)傳輸，杜絕與**的連接，防止數(shù)據(jù)被盜，但是如果**服務(wù)器（APP）存在漏洞導(dǎo)致被黑客攻擊，那么攻擊者很有可能利用該服務(wù)器的權(quán)限去遠程連接數(shù)據(jù)庫端，導(dǎo)致數(shù)據(jù)泄露，用戶信息被盜取的可能。

然后對客戶服務(wù)器里的APP代碼，以及網(wǎng)站PHP源文件進行代碼的安全審計，以及網(wǎng)站木馬文件的檢測與清除，包括網(wǎng)站漏洞測試與挖掘，我們SINE安全都是人工進行代碼的安全審計與木馬檢查，下載了客戶代碼到本地電腦里進行操作，包括了APP的網(wǎng)站訪問日志，以及APP的Android端+IOS端文件也下載了一份到手機里。我們在檢測到客戶APP里的充值功能這里存在SQL注入漏洞，因為本身網(wǎng)站選擇的是thinkphp框架二次開發(fā)的，程序員在寫功能的時候未對充值金額的數(shù)值進行安全判斷，導(dǎo)致可以遠程插入惡意的SQL注入代碼到服務(wù)器后端進行操作，SQL注入漏洞可以查詢數(shù)據(jù)庫里的任何內(nèi)容，也可以寫入，更改，通過配合日志的查詢，我們發(fā)現(xiàn)該黑客直接讀取了APP后臺的管理員賬號密碼，客戶使用的后臺地址用的是二級域名，開頭是，導(dǎo)致攻擊者直接登錄后臺。我們在后臺的日志也找到黑客的登錄訪問后臺的日志，通過溯源追蹤，黑客的IP是菲律賓的，還發(fā)現(xiàn)后臺存在文件上傳功能，該功能的代碼我們SINE安全對其做了詳細的人工代碼安全審計與漏洞檢測，發(fā)現(xiàn)可以上傳任意文件格式漏洞，包括可以上傳PHP腳本木馬。

攻擊者進一步的上傳了已預(yù)謀好的webshell文件，對APP里的網(wǎng)站數(shù)據(jù)庫配置文件進行了查看，利用APP**服務(wù)器的權(quán)限去連接了另外一臺數(shù)據(jù)庫服務(wù)器，導(dǎo)致數(shù)據(jù)庫里的內(nèi)容全部被黑客打包導(dǎo)出，此次安全事件的根源問題才得以明了，我們SINE安全技術(shù)繼續(xù)對該金融客戶的APP網(wǎng)站代碼進行審計，總共發(fā)現(xiàn)4處漏洞，1，SQL注入漏洞，2，后臺文件上傳漏洞。3，XSS跨站漏洞,4，越權(quán)查看其它用戶的銀行卡信息漏洞。以及APP**里共人工審計出6個網(wǎng)站木馬后門文件，包含了PHP大馬，PHP一句話木馬，PHP加密，PHP遠程調(diào)用下載功能的代碼，mysql數(shù)據(jù)庫連接代碼，EVAL免殺馬等等。

我們SINE安全對SQL注入漏洞進行了修復(fù)，對get,post,cookies方式提交的參數(shù)值進行了安全過濾與效驗，限制惡意SQL注入代碼的輸入，對文件上傳漏洞進行修復(fù)，限制文件上傳的格式，以及后綴名，并做了文件格式白名單機制。對XSS跨站代碼做了轉(zhuǎn)義，像經(jīng)常用到的<>script 等等的攻擊字符做了攔截與轉(zhuǎn)義功能，當(dāng)遇到以上惡意字符的時候自動轉(zhuǎn)義與攔截，防止**提交到后臺中去。對越權(quán)漏洞進行銀行卡查看的漏洞做了當(dāng)前賬戶權(quán)限所屬判斷，不允許跨層級的查看任意銀行卡信息，只能查看所屬賬戶下的銀行卡內(nèi)容。對檢測出來的木馬后門文件進行了隔離與強制刪除，并對網(wǎng)站安全進行了防篡改部署，以及文件夾安全部署，服務(wù)器底層的安全設(shè)置，端口安全策略，等等的一系列安全防護措施。

至此客戶APP滲透測試中發(fā)現(xiàn)的網(wǎng)站漏洞都已被我們SINE安全修復(fù)，并做了安全防護加固，用戶信息泄露的問題得以解決，問題既然發(fā)生了就得找到漏洞根源，對網(wǎng)站日志進行溯源追蹤，網(wǎng)站漏洞進行安全測試，代碼進行安全審計，全方面的入手才能找出問題所在，如果您的APP也被攻擊存在漏洞，不知道該如何解決，修復(fù)漏洞，可以找專業(yè)的網(wǎng)站安全滲透測試公司來解決，國內(nèi)SINESAFE，鷹盾安全，綠盟，啟**辰，深信服都是比較專業(yè)的、也由衷的希望我們此次的安全處理過的分享能夠幫到更多的人，網(wǎng)絡(luò)安全了，我們才能放心的去運營APP。


青島四海通達電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護,網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)站建設(shè)時應(yīng)該注意的網(wǎng)站安全

  現(xiàn)在有成千上萬的網(wǎng)站，同類型的網(wǎng)站數(shù)不勝數(shù)，那么如何注意網(wǎng)站的安全呢？讓我們跟隨爪網(wǎng)。 ? ?1、robots設(shè)置安全 ? ?Robots設(shè)置一般是一個糾結(jié)的問題。如果設(shè)置，會暴露后臺管理地址，給網(wǎng)站安全留下隱患，但有利于搜索引擎的抓取。建議不要在后臺使用login.asplogin.jsp等待一般登錄稱號，可設(shè)置復(fù)雜的文件稱號，同時設(shè)置考證碼機制，避免暴力

• 網(wǎng)站漏洞掃描器與安全測試工具的使用功能分析

  關(guān)于網(wǎng)站漏洞掃描器的使用步驟，大家基本上都是按照以下方法去使用：輸入網(wǎng)站地址->啟動網(wǎng)站漏洞掃描引擎->檢測漏洞的風(fēng)險程度->輸出網(wǎng)站安全報告,是否能得到這樣的理論依據(jù)：同一款漏洞掃描工具，掃描出來的結(jié)果應(yīng)該一樣?但是，實際上，現(xiàn)實中是否常出現(xiàn)：對于同一款掃描器，A說實際效果非常不錯，發(fā)現(xiàn)了真實可利用的SQL注入漏洞，B卻說特別差，全是一些無足輕重的低危漏洞。甚至可能還有這樣的兩

• 什么是網(wǎng)站安全顧問

  網(wǎng)站安全顧問就像醫(yī)生一樣。他可以根據(jù)醫(yī)學(xué)知識和臨床經(jīng)驗，結(jié)合各種檢查數(shù)據(jù)給出**方案。請注意藥物的類比，這是一個值得深入思考的點，因為藥物本身是醫(yī)療解決方案的物質(zhì)載體，承載著所有醫(yī)學(xué)知識共同體對某一疾病的解決方案。安全服務(wù)解決方案也具有相同的特點，承載著相關(guān)安全工程知識和經(jīng)驗的解決方案。安全醫(yī)生能給出有效的**方案一樣，安全醫(yī)生能給出有效的**方案一樣有意義。什么是網(wǎng)站安全咨詢？答：借助安全*豐

• 保護網(wǎng)站安全的5個方法！

  事實上，網(wǎng)站建設(shè)的各個方面都非常重要，速度不快，用戶沒有耐心等待，網(wǎng)站不穩(wěn)定，用戶會失去信任，如果網(wǎng)站沒有安全措施，就會造成直接損失。保護網(wǎng)站安全的五種方法！因此，在選擇一個好的服務(wù)器來確保網(wǎng)站的正常運行時，我們應(yīng)該較加關(guān)注網(wǎng)站的安全。有多少站長遇到過？DDOS或黑客攻擊，網(wǎng)站數(shù)據(jù)丟失或 ？我想每個站長都不想再遇到這種情況了。因此，我們需要保護網(wǎng)站。**、安裝SSL證書SSL許多大型網(wǎng)站都會選擇安