如何防止APP資訊洩露的問題 該怎麼查
上海經濟7月份開始陸續恢復,一些在上海做APP專案的客戶開始了一系列的營銷推廣和發展,在眾多渠道推廣下,使用者下載安裝APP的同時,一些安全上的漏洞頻發,並被高階駭客給盯上,具體的資料洩露攻擊的症狀為:使用者剛註冊好的手機號、姓名、身份證號等資訊就被洩露,不一會就會收到境外香港的電話推廣和網路詐騙,並且有些使用者的資料被惡意篡改,導致APP運營平臺損失較大,比如一些使用者借貸額度被篡改成20w的額度,APP專案方發現問題後立即找了APP安全應急響應服務團隊Sinesafe進行了全面的安全應急響應服務,要求儘快找出漏洞問題的原因以及攻擊進行溯源。
瞭解到上述情況後,我們SINE安全立即安排了技術團隊對APP專案方的整體運維關聯的伺服器以及資料庫、API介面伺服器和落地推廣伺服器、H5域名進行了資訊整理和蒐集,並仔細詢問了最早發生這種資料被盜取洩露和被篡改的時間,以及帶來的損失和管理員人員的第三方安全排查和記錄,透過此專案的運維人員的瞭解,發現伺服器都使用的是Linux系統,專案App的架構語言是用Java+Vue開發的,API介面使用的也是java開發的,而且運維人員告知程式設計師,所有的程式碼修改和除錯都要在正式伺服器裡的測試環境中進行,簡單來理解的話,就是說程式碼開發人員在使用專案中的伺服器,去除錯和修改程式碼,透過我們SINE的安全工程師人工審計掃描發現,伺服器開放了8099,22,3306,21,80,443,8080等埠,看了下8099埠是用於GItlab系統,此係統是程式設計師用於修改App程式碼和同步程式碼用的,22埠是運維技術和開發人員登入伺服器的SSH埠用的,3306是一些Mysql測試資料庫和正式資料庫用的埠,21埠是程式設計師上傳檔案用的Ftp服務埠,80和443是API介面和App專案所用到的對外使用者訪問的服務,8080是程式設計師除錯app介面用的。
透過我們的前期資訊蒐集,有些細節一定不能拉下,一個小的問題點就會導致出現漏洞,我們嘗試了gitlab的預設賬戶root的專案共享網址,發現root共享的專案中包含了App原始碼,我們SINESAFE技術立即打包下載下來到我們自己電腦,深入的分析了java程式碼裡的一些配置檔案,發現存在一些阿里雲oss的key和金鑰資訊,我們嘗試利用阿里雲的oss key和金鑰發現,該金鑰的許可權特別大,可以直接獲取到當前阿里雲賬戶下的所有伺服器資訊,以及所有阿里雲服務管理許可權。
此時此刻,這個漏洞的危害性實在太大了,可以操控阿里雲賬戶下的所有伺服器,正因為這個漏洞,才發生了一開始我們介紹的客戶被攻擊的症狀,為何使用者剛註冊的資訊,立馬就被洩露,根源就是這個阿里雲oss key和金鑰洩露問題,導致駭客可以直接登入伺服器去檢視資料庫,並實時的從資料庫中提取使用者的手機號和姓名以及身份證號賣給第三方,第三方使用境外香港的電話進行營銷推廣和網路詐騙,目前已形成了一個產業鏈,針對這個漏洞我們讓客戶確認了下上述圖片中的伺服器是否是客戶賬戶下的,經專案方運維技術確認,的確是他們阿里雲賬戶下的所有伺服器,由於運維技術可能對我們SINESAFE的技術勢力有點不相信,在進行滲透測試安全服務的一開始就對我們說,知道伺服器IP是沒用的,你得真正拿到伺服器管理員許可權才行,經過客戶的授權允許後,在不影響正式業務的執行下,我們利用阿里雲的key和金鑰執行了SHELL命令,並直接進入了伺服器使用的是root許可權,發現資料庫部署在172.18.17.165內網,透過history獲取到了使用者的一些歷史操作命令,其中包括Mysql的資料庫賬戶和密碼,本身一開始的時候,我們就發現伺服器對外開放了3306埠,我們獲得這些資料庫賬戶資訊後,立即遠端連線了mysql檢視到,的確是App的所有資料庫內容,截圖如下:
此時客戶的運維技術,看到我們發的這個截圖後,立馬改口說:服了,真牛,不虧是專業的網站安全服務商,至此整個溯源以及漏洞發生的問題都已找到,後續客戶直接簽訂了長期的APP滲透測試服務和安全加固服務,透過後續的服務,我們SINE安全技術又發現API介面存在一些越權漏洞,可越權檢視使用者資訊,可導致APP的使用者資訊被洩露和篡改,比如使用者的金額也可以直接透過這個介面漏洞直接修改成任意的金額,APP中的留言反饋功能還存在XSS跨站攻擊,導致駭客可以獲取到後臺的session值和cookie值,可直接登入後臺,還有一些介面使用說明,也直接暴露在了前端,由於開發人員沒有安全意識,隨手就把一些備份檔案放到了網站根目錄下,透過一些爬蟲工具,可獲取到了此備份檔案,檔案裡包含很多程式碼資訊,諸如此類的漏洞實在是太多了,如果有遇到此類問題的朋友記得要仔細排查每一個細節和功能,凡是關聯資料庫的伺服器或網站或APP一定都要仔細排查漏洞,因為這都是駭客攻擊的入口,入口越多,駭客入侵的成功機率也就越大,如果實在搞不定,又摸不著頭腦的話可以找專業的網站漏洞修復服務商來處理資料洩露的問題。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2905912/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 如何防止 goroutine 洩露Go
- APP資料洩露該怎麼去排查和溯源APP
- 網際網路時代,如何防止個人資訊洩露
- 如何防止 goroutine 洩露(二)Go
- APP資料洩露漏洞該如何修復和加固APP
- 使用者該怎麼捉資料洩露的“BUG”
- 快遞員出售使用者資訊被判刑:如何防止快遞行業資訊洩露行業
- 大資料資訊時代,如何防止資料洩露,大資料防洩漏解決方案大資料
- 什麼是資料洩露?哪些問題可導致資料洩露
- 企業如何有效防止原始碼洩露及篡改?原始碼
- 資訊洩露之web原始碼洩露Web原始碼
- 耳語(Whisper) app資料洩露致9億個私密自白曝光:該怎麼辦?APP
- 【翻譯】卡通圖解DNS,你的資訊怎麼被洩露的?圖解DNS
- 企業怎麼防止資料洩露帶來的損失,瞭解怎麼做好資料安全
- APP上架因收集個人資訊問題被拒絕該怎麼解決?APP
- 谷歌改口,將修復地理位置資訊洩露問題谷歌
- 不讓資料隨員工走人:防止內部資訊洩露的策略
- 怎麼有效檢查app安全問題呢?APP
- 資料洩露事件表明,Facebook 有一個“App 問題”事件APP
- 記憶體洩露引起的問題記憶體洩露
- ThreaLocal記憶體洩露的問題記憶體洩露
- 企業如何有效防止資料洩露?如何選擇資料防洩漏工具?
- 瀏覽網站擔心個人資訊被洩露怎麼辦?網站
- 後端開發都應該瞭解的資訊洩露風險後端
- 人工智慧如何防止資料洩露後的疲勞現象人工智慧
- 如何關閉Flash Cookie來避免資訊洩露?Cookie
- 網站被攻擊了 該怎麼解決防止被黑客攻擊的問題網站黑客
- 漏洞利用之資訊洩露
- JVM與記憶體洩露問題JVM記憶體洩露
- Scrapy的記憶體洩露問題總結記憶體洩露
- [技巧]如何防止Linux命令列下MySQL登入密碼洩露?Linux命令列MySql密碼
- 如何防止內部人員誤操作和病毒導致的資料洩露
- 如何解決各個行業出現的資料洩露問題?行業
- DNS域傳送資訊洩露DNS
- 資訊洩露事件頻發,拷問AI時代的資料安全事件AI
- 個人資訊頻遭洩露怎麼破?網路安全法來護航
- 解決git記憶體洩露問題Git記憶體洩露
- Js記憶體洩露問題總結JS記憶體洩露