如何防止APP資訊洩露的問題 該怎麼查

上海經濟7月份開始陸續恢復，一些在上海做APP專案的客戶開始了一系列的營銷推廣和發展，在眾多渠道推廣下，使用者下載安裝APP的同時，一些安全上的漏洞頻發，並被高階黑客給盯上，具體的資料洩露攻擊的症狀為：使用者剛註冊好的手機號、姓名、身份證號等資訊就被洩露，不一會就會收到境外香港的電話推廣和網路詐騙，並且有些使用者的資料被惡意篡改，導致APP運營平臺損失較大，比如一些使用者借貸額度被篡改成20w的額度，APP專案方發現問題後立即找了APP安全應急響應服務團隊Sinesafe進行了全面的安全應急響應服務，要求儘快找出漏洞問題的原因以及攻擊進行溯源。

瞭解到上述情況後，我們SINE安全立即安排了技術團隊對APP專案方的整體運維關聯的伺服器以及資料庫、API介面伺服器和落地推廣伺服器、H5域名進行了資訊整理和蒐集，並仔細詢問了最早發生這種資料被盜取洩露和被篡改的時間，以及帶來的損失和管理員人員的第三方安全排查和記錄，通過此專案的運維人員的瞭解，發現伺服器都使用的是Linux系統，專案App的架構語言是用Java+Vue開發的，API介面使用的也是java開發的，而且運維人員告知程式設計師，所有的程式碼修改和除錯都要在正式伺服器裡的測試環境中進行，簡單來理解的話，就是說程式碼開發人員在使用專案中的伺服器，去除錯和修改程式碼，通過我們SINE的安全工程師人工審計掃描發現，伺服器開放了8099,22,3306,21,80,443,8080等埠，看了下8099埠是用於GItlab系統，此係統是程式設計師用於修改App程式碼和同步程式碼用的，22埠是運維技術和開發人員登入伺服器的SSH埠用的，3306是一些Mysql測試資料庫和正式資料庫用的埠，21埠是程式設計師上傳檔案用的Ftp服務埠，80和443是API介面和App專案所用到的對外使用者訪問的服務，8080是程式設計師除錯app介面用的。

通過我們的前期資訊蒐集，有些細節一定不能拉下，一個小的問題點就會導致出現漏洞，我們嘗試了gitlab的預設賬戶root的專案共享網址，發現root共享的專案中包含了App原始碼，我們SINESAFE技術立即打包下載下來到我們自己電腦，深入的分析了java程式碼裡的一些配置檔案，發現存在一些阿里雲oss的key和金鑰資訊，我們嘗試利用阿里雲的oss key和金鑰發現,該金鑰的許可權特別大，可以直接獲取到當前阿里雲賬戶下的所有伺服器資訊，以及所有阿里雲服務管理許可權。

此時此刻，這個漏洞的危害性實在太大了，可以操控阿里雲賬戶下的所有伺服器，正因為這個漏洞，才發生了一開始我們介紹的客戶被攻擊的症狀，為何使用者剛註冊的資訊，立馬就被洩露，根源就是這個阿里雲oss key和金鑰洩露問題，導致黑客可以直接登入伺服器去檢視資料庫，並實時的從資料庫中提取使用者的手機號和姓名以及身份證號賣給第三方，第三方使用境外香港的電話進行營銷推廣和網路詐騙，目前已形成了一個產業鏈，針對這個漏洞我們讓客戶確認了下上述圖片中的伺服器是否是客戶賬戶下的，經專案方運維技術確認，的確是他們阿里雲賬戶下的所有伺服器，由於運維技術可能對我們SINESAFE的技術勢力有點不相信，在進行滲透測試安全服務的一開始就對我們說，知道伺服器IP是沒用的，你得真正拿到伺服器管理員許可權才行，經過客戶的授權允許後，在不影響正式業務的執行下，我們利用阿里雲的key和金鑰執行了SHELL命令，並直接進入了伺服器使用的是root許可權，發現資料庫部署在172.18.17.165內網，通過history獲取到了使用者的一些歷史操作命令，其中包括Mysql的資料庫賬戶和密碼，本身一開始的時候，我們就發現伺服器對外開放了3306埠，我們獲得這些資料庫賬戶資訊後，立即遠端連線了mysql檢視到，的確是App的所有資料庫內容,截圖如下：

此時客戶的運維技術，看到我們發的這個截圖後，立馬改口說：服了，真牛，不虧是專業的網站安全服務商，至此整個溯源以及漏洞發生的問題都已找到，後續客戶直接簽訂了長期的APP滲透測試服務和安全加固服務，通過後續的服務，我們SINE安全技術又發現API介面存在一些越權漏洞，可越權檢視使用者資訊，可導致APP的使用者資訊被洩露和篡改，比如使用者的金額也可以直接通過這個介面漏洞直接修改成任意的金額，APP中的留言反饋功能還存在XSS跨站攻擊，導致黑客可以獲取到後臺的session值和cookie值，可直接登入後臺，還有一些介面使用說明，也直接暴露在了前端，由於開發人員沒有安全意識，隨手就把一些備份檔案放到了網站根目錄下，通過一些爬蟲工具，可獲取到了此備份檔案，檔案裡包含很多程式碼資訊，諸如此類的漏洞實在是太多了，如果有遇到此類問題的朋友記得要仔細排查每一個細節和功能，凡是關聯資料庫的伺服器或網站或APP一定都要仔細排查漏洞，因為這都是黑客攻擊的入口，入口越多，黑客入侵的成功機率也就越大，如果實在搞不定，又摸不著頭腦的話可以找專業的網站漏洞修復服務商來處理資料洩露的問題。