APP安全測試 該如何滲透檢測APP存在的漏洞
IOS端的APP滲透測試在整個網際網路上相關的安全文章較少,前幾天有位客戶的APP資料被篡改,導致使用者被隨意提現,任意的提幣,轉幣給平臺的運營造成了很大的經濟損失,透過朋友介紹找到我們SINE安全公司尋求安全解決方案,防止APP繼續被篡改與攻擊,針對客戶的這一情況我們立即成立安全應急響應小組,對客戶的APP以及伺服器進行了全面的安全滲透。
首先要了解客戶的IOS APP應用使用的是什麼架構,經過我們安全工程師的詳細檢查與程式碼的分析,採用的是網站語言開發,PHP+mysql資料庫+VUE組合開發的,伺服器系統是Linux centos版本。
我們搭建起 滲透測試的環境,下載的客戶的最新APP應用到手機當中,並開啟了8098埠為代理埠,對APP的資料進行了抓包與擷取,開啟APP後竟然閃退了,透過抓包獲取到客戶的APP使用了代理檢測機制,當手機使用代理進行訪問的時候就會自動判斷是否是使用的代理,如果是就返回錯誤值,並強制APP退出,斷掉一切與APP的網路連線。那麼對於我們SINE安全技術來說,這都是很簡單的就可以繞過,透過反編譯IPA包,程式碼分析追蹤到APP代理檢測的原始碼,有一段程式碼是單獨設定的,當值判斷為1就可以直接繞過,我們直接HOOK該程式碼,繞過了代理檢測機制。
接下來我們SINE安全工程師對客戶APP的正常功能比如:使用者註冊,使用者密碼找回,登入,以及使用者留言,使用者頭像上傳,充幣提幣,二次密碼等功能進行了全面的滲透測試服務,在使用者留言這裡發現可以寫入惡意的XSS跨站程式碼到後端中去,當使用者在APP端提交留言資料POST到後臺資料,當後臺管理員檢視使用者留言的時候,就會擷取APP管理員的cookies值以及後臺登入地址,攻擊者利用該XSS漏洞獲取到了後臺的管理員許可權,之前發生的會員資料被篡改等安全問題都是由這個漏洞導致的,客戶說後臺並沒有記錄到修改會員的一些操作日誌,正常如果管理員在後臺對會員進行操作設定的時候,都會有操作日誌記錄到後臺中去,透過客戶的這些反饋,我們繼續對APP進行滲透測試,果然不出我們SINE安全所料,後臺裡有上傳圖片功能,我們POST擷取資料包,對上傳的檔案型別進行修改為PHP字尾名,直接POST資料過去,直接繞過程式碼檢測上傳了PHP指令碼檔案到後臺的圖片目錄。
我們對上傳的網站木馬後門也叫webshell,客戶網站後臺存在檔案上傳漏洞,可以上傳任意格式的檔案,我們又登入客戶的伺服器對nginx的日誌進行分析處理,發現了攻擊者的痕跡,在12月20號晚上,XSS漏洞獲取後臺許可權並透過檔案上傳漏洞上傳了webshell,利用webshell獲取到了APP的資料庫配置檔案,透過webshell內建的mysql連線功能,直接對會員資料進行了修改,至此客戶會員資料被篡改的問題得以圓滿的解決,我們又對其他功能進行滲透測試發現,使用者密碼找回功能存在邏輯漏洞,可以繞過驗證碼直接修改任意會員賬號的密碼。
這次APP滲透測試總共發現三個漏洞,XSS跨站漏洞,檔案上傳漏洞,使用者密碼找回邏輯漏洞,這些漏洞在我們安全界來說屬於高危漏洞,可以對APP,網站,伺服器造成重大的影響,不可忽視,APP安全了,帶來的也是使用者的資料安全,只有使用者安全了,才能帶來利益上的共贏。如果您對滲透測試不懂的話,也可以找專業的網站安全公司,以及 滲透測試公司來幫您檢測一下。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2670657/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站安全測試之APP滲透測試漏洞網站APP
- 網站滲透測試安全檢測漏洞網站
- APP安全檢測 滲透測試APP服務介紹與過程APP
- APP滲透測試 深入挖掘漏洞以及如何防止攻擊APP
- 網站漏洞檢測 滲透測試檢測手法網站
- 滲透測試網站安全漏洞檢測大體方法網站
- APP安全測試的主要內容 滲透APK DEX逆向 漏洞挖掘等等APPAPK
- 滲透測試對app安全測試實戰過程分享APP
- 網站滲透測試安全檢測方案網站
- 邏輯注入漏洞滲透測試檢測辦法
- APP滲透測試基本內容與漏洞掃描介紹APP
- 滲透測試對檔案包含漏洞網站檢測網站
- 網站漏洞滲透測試行業該如何去學習網站行業
- 網站安全滲透測試該如何增加就業概率網站就業
- 微信小程式之滲透測試、加固、安全檢測微信小程式
- 如何學習網站漏洞滲透測試學習網站
- 滲透測試之CSRF程式碼漏洞的檢測與加固方案
- 安全測試和滲透測試的區別
- 網路安全滲透測試的型別!滲透測試入門教程型別
- 網站安全公司 滲透測試中的漏洞資訊蒐集網站
- 滲透測試公司 對於越權漏洞的檢測與修復
- 網路安全滲透測試
- 網站安全滲透測試檢測認證登入分析網站
- 滲透測試公司 對PHP網站安全後門檢測PHP網站
- 區塊鏈app安全防護 滲透測試中發現的越權漏洞分析與修復區塊鏈APP
- APP安卓滲透測試四大步驟APP安卓
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站漏洞滲透測試覆盤檢查結果分析網站
- 滲透測試會用到哪些工具?滲透測試教程
- 美髮布汽車網路安全指南滲透測試尋漏洞
- 滲透測試常見漏洞有哪些?如何有效防範?
- 如何進行滲透測試XSS跨站攻擊檢測
- 滲透攻防演練之網站存在漏洞該如何解決網站
- 軟體滲透測試基礎知識分享,可做滲透測試的軟體檢測公司有哪些?
- 網站安全滲透測試服務之discuz漏洞挖掘與利用網站
- 【原創】記一次對X呼APP的滲透測試APP
- 滲透測試 網站安全測試行業問題分析網站行業
- 滲透測試與自動化安全測試工具比較