用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復
APP滲透測試目前包含了Android端+IOS端的漏洞檢測與安全測試,前段時間某金融客戶的APP被駭客惡意攻擊,導致APP裡的使用者資料包括平臺裡的賬號,密碼,手機號,姓名都被資訊洩露,透過老客戶的介紹找到我們SINE安全公司尋求安全防護上的技術支援,防止後期APP被攻擊以及資料篡改洩露等安全問題的發生。針對於客戶發生的網站被駭客攻擊以及使用者資料洩露的情況,我們立即成立了SINE安全移動端APP應急響應小組,關於APP滲透測試的內容以及如何解決的問題我們做了彙總,透過這篇文章來分享給大家。
首先要了解客戶的情況,知彼知己百戰不殆,客戶APP架構開發是Web(php語言)+VUE框架,伺服器採用的是Linux centos系統,資料庫與WEB APP端分離,透過內網進行傳輸,大部分金融以及虛擬幣客戶都是採用此架構,有的是RDS資料庫,也基本都是內網傳輸,杜絕與前端的連線,防止資料被盜,但是如果前端伺服器(APP)存在漏洞導致被駭客攻擊,那麼攻擊者很有可能利用該伺服器的許可權去遠端連線資料庫端,導致資料洩露,使用者資訊被盜取的可能。
然後對客戶伺服器裡的APP程式碼,以及網站PHP原始檔進行程式碼的安全審計,以及網站木馬檔案的檢測與清除,包括網站漏洞測試與挖掘,我們SINE安全都是人工進行程式碼的安全審計與木馬檢查,下載了客戶程式碼到本地電腦裡進行操作,包括了APP的網站訪問日誌,以及APP的Android端+IOS端檔案也下載了一份到手機裡。我們在檢測到客戶APP裡的充值功能這裡存在SQL隱碼攻擊漏洞,因為本身網站選擇的是thinkphp框架二次開發的,程式設計師在寫功能的時候未對充值金額的數值進行安全判斷,導致可以遠端插入惡意的SQL隱碼攻擊程式碼到伺服器後端進行操作,SQL隱碼攻擊漏洞可以查詢資料庫裡的任何內容,也可以寫入,更改,透過配合日誌的查詢,我們發現該駭客直接讀取了APP後臺的管理員賬號密碼,客戶使用的後臺地址用的是二級域名,開頭是admin.XXXXX.com,導致攻擊者直接登入後臺。我們在後臺的日誌也找到駭客的登入訪問後臺的日誌,透過溯源追蹤,駭客的IP是菲律賓的,還發現後臺存在檔案上傳功能,該功能的程式碼我們SINE安全對其做了詳細的人工程式碼安全審計與漏洞檢測,發現可以上傳任意檔案格式漏洞,包括可以上傳PHP指令碼木馬。
攻擊者進一步的上傳了已預謀好的webshell檔案,對APP裡的網站資料庫配置檔案進行了檢視,利用APP前端伺服器的許可權去連線了另外一臺資料庫伺服器,導致資料庫裡的內容全部被駭客打包匯出,此次安全事件的根源問題才得以明瞭,我們SINE安全技術繼續對該金融客戶的APP網站程式碼進行審計,總共發現4處漏洞,1,SQL隱碼攻擊漏洞,2,後臺檔案上傳漏洞。3,XSS跨站漏洞,4,越權檢視其它使用者的銀行卡資訊漏洞。以及APP前端裡共人工審計出6個網站木馬後門檔案,包含了PHP大馬,PHP一句話木馬,PHP加密,PHP遠端呼叫下載功能的程式碼,mysql資料庫連線程式碼,EVAL免殺馬等等。
我們SINE安全對SQL隱碼攻擊漏洞進行了修復,對get,post,cookies方式提交的引數值進行了安全過濾與效驗,限制惡意SQL隱碼攻擊程式碼的輸入,對檔案上傳漏洞進行修復,限制檔案上傳的格式,以及字尾名,並做了檔案格式白名單機制。對XSS跨站程式碼做了轉義,像經常用到的<>script 等等的攻擊字元做了攔截與轉義功能,當遇到以上惡意字元的時候自動轉義與攔截,防止前端提交到後臺中去。對越權漏洞進行銀行卡檢視的漏洞做了當前賬戶許可權所屬判斷,不允許跨層級的檢視任意銀行卡資訊,只能檢視所屬賬戶下的銀行卡內容。對檢測出來的木馬後門檔案進行了隔離與強制刪除,並對網站安全進行了防篡改部署,以及資料夾安全部署,伺服器底層的安全設定,埠安全策略,等等的一系列安全防護措施。
至此客戶APP滲透測試中發現的網站漏洞都已被我們SINE安全修復,並做了安全防護加固,使用者資訊洩露的問題得以解決,問題既然發生了就得找到漏洞根源,對網站日誌進行溯源追蹤,網站漏洞進行安全測試,程式碼進行安全審計,全方面的入手才能找出問題所在,如果您的APP也被攻擊存在漏洞,不知道該如何解決,修復漏洞,可以找專業的網站安全 滲透測試公司來解決,國內SINESAFE,鷹盾安全,綠盟,啟明星辰,深信服都是比較專業的、也由衷的希望我們此次的安全處理過的分享能夠幫到更多的人,網路安全了,我們才能放心的去運營APP。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2674467/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站被攻擊滲透測試出漏洞怎麼辦網站
- APP滲透測試 深入挖掘漏洞以及如何防止攻擊APP
- 網站被攻擊 如何修復網站漏洞網站
- 揭秘最為知名的駭客工具之一: Netcat!適用安全測試、滲透測試、駭客攻擊!
- 滲透測試對網站漏洞修復執行命令重點檢查網站
- 網站安全測試之APP滲透測試漏洞網站APP
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源網站
- 網站查詢漏洞滲透測試大體流程介紹網站
- 網站被駭客攻擊瞭如何解決網站
- 滲透測試網站sql注入攻擊與防護網站SQL
- 網站滲透測試安全檢測漏洞網站
- 網站滲透測試服務之簡訊轟炸漏洞挖掘與修復網站
- 伺服器滲透測試之攻擊漏洞方法伺服器
- 網站漏洞滲透測試覆盤檢查結果分析網站
- 如何學習網站漏洞滲透測試學習網站
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- 網站漏洞檢測 滲透測試檢測手法網站
- 如何進行滲透測試XSS跨站攻擊檢測
- 滲透測試公司 對於越權漏洞的檢測與修復
- 黑吃黑——駭客組織透過駭客工具攻擊其他駭客
- 網站漏洞修補之ECshop4.0跨站指令碼攻擊修復網站指令碼
- 滲透測試對檔案包含漏洞網站檢測網站
- 網站滲透測試漏洞分析程式碼架構網站架構
- APP安全測試 該如何滲透檢測APP存在的漏洞APP
- 滲透測試服務 前期對客戶網站APP的資訊收集分享網站APP
- beescms網站滲透測試網站
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- 滲透測試網站安全漏洞檢測大體方法網站
- 網站安全公司 滲透測試中的漏洞資訊蒐集網站
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- “白帽駭客”合法化——比利時新法律規定滲透測試無需攻擊物件同意物件
- Kali linux滲透測試系列————28、Kali linux 滲透攻擊之社會工程學攻擊Linux
- 網站被黑該如何檢查攻擊來源以及被篡改資料的痕跡?網站
- 區塊鏈app安全防護 滲透測試中發現的越權漏洞分析與修復區塊鏈APP
- 網站安全監測來看,網站被攻擊,被篡改佔比較高網站
- 網站漏洞滲透測試行業該如何去學習網站行業
- 黑客攻擊滲透測試的社會工程學利用黑客