用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復

APP滲透測試目前包含了Android端+IOS端的漏洞檢測與安全測試，前段時間某金融客戶的APP被駭客惡意攻擊，導致APP裡的使用者資料包括平臺裡的賬號，密碼，手機號，姓名都被資訊洩露，透過老客戶的介紹找到我們SINE安全公司尋求安全防護上的技術支援，防止後期APP被攻擊以及資料篡改洩露等安全問題的發生。針對於客戶發生的網站被駭客攻擊以及使用者資料洩露的情況，我們立即成立了SINE安全移動端APP應急響應小組，關於APP滲透測試的內容以及如何解決的問題我們做了彙總，透過這篇文章來分享給大家。

首先要了解客戶的情況，知彼知己百戰不殆，客戶APP架構開發是Web（php語言）+VUE框架，伺服器採用的是Linux centos系統，資料庫與WEB APP端分離，透過內網進行傳輸，大部分金融以及虛擬幣客戶都是採用此架構，有的是RDS資料庫，也基本都是內網傳輸，杜絕與前端的連線，防止資料被盜，但是如果前端伺服器（APP）存在漏洞導致被駭客攻擊，那麼攻擊者很有可能利用該伺服器的許可權去遠端連線資料庫端，導致資料洩露，使用者資訊被盜取的可能。

然後對客戶伺服器裡的APP程式碼，以及網站PHP原始檔進行程式碼的安全審計，以及網站木馬檔案的檢測與清除，包括網站漏洞測試與挖掘，我們SINE安全都是人工進行程式碼的安全審計與木馬檢查，下載了客戶程式碼到本地電腦裡進行操作，包括了APP的網站訪問日誌，以及APP的Android端+IOS端檔案也下載了一份到手機裡。我們在檢測到客戶APP裡的充值功能這裡存在SQL隱碼攻擊漏洞，因為本身網站選擇的是thinkphp框架二次開發的，程式設計師在寫功能的時候未對充值金額的數值進行安全判斷，導致可以遠端插入惡意的SQL隱碼攻擊程式碼到伺服器後端進行操作，SQL隱碼攻擊漏洞可以查詢資料庫裡的任何內容，也可以寫入，更改，透過配合日誌的查詢，我們發現該駭客直接讀取了APP後臺的管理員賬號密碼，客戶使用的後臺地址用的是二級域名，開頭是admin.XXXXX.com，導致攻擊者直接登入後臺。我們在後臺的日誌也找到駭客的登入訪問後臺的日誌，透過溯源追蹤，駭客的IP是菲律賓的，還發現後臺存在檔案上傳功能，該功能的程式碼我們SINE安全對其做了詳細的人工程式碼安全審計與漏洞檢測，發現可以上傳任意檔案格式漏洞，包括可以上傳PHP指令碼木馬。

攻擊者進一步的上傳了已預謀好的webshell檔案，對APP裡的網站資料庫配置檔案進行了檢視，利用APP前端伺服器的許可權去連線了另外一臺資料庫伺服器，導致資料庫裡的內容全部被駭客打包匯出，此次安全事件的根源問題才得以明瞭，我們SINE安全技術繼續對該金融客戶的APP網站程式碼進行審計，總共發現4處漏洞，1，SQL隱碼攻擊漏洞，2，後臺檔案上傳漏洞。3，XSS跨站漏洞,4，越權檢視其它使用者的銀行卡資訊漏洞。以及APP前端裡共人工審計出6個網站木馬後門檔案，包含了PHP大馬，PHP一句話木馬，PHP加密，PHP遠端呼叫下載功能的程式碼，mysql資料庫連線程式碼，EVAL免殺馬等等。

我們SINE安全對SQL隱碼攻擊漏洞進行了修復，對get,post,cookies方式提交的引數值進行了安全過濾與效驗，限制惡意SQL隱碼攻擊程式碼的輸入，對檔案上傳漏洞進行修復，限制檔案上傳的格式，以及字尾名，並做了檔案格式白名單機制。對XSS跨站程式碼做了轉義，像經常用到的<>script 等等的攻擊字元做了攔截與轉義功能，當遇到以上惡意字元的時候自動轉義與攔截，防止前端提交到後臺中去。對越權漏洞進行銀行卡檢視的漏洞做了當前賬戶許可權所屬判斷，不允許跨層級的檢視任意銀行卡資訊，只能檢視所屬賬戶下的銀行卡內容。對檢測出來的木馬後門檔案進行了隔離與強制刪除，並對網站安全進行了防篡改部署，以及資料夾安全部署，伺服器底層的安全設定，埠安全策略，等等的一系列安全防護措施。

至此客戶APP滲透測試中發現的網站漏洞都已被我們SINE安全修復，並做了安全防護加固，使用者資訊洩露的問題得以解決，問題既然發生了就得找到漏洞根源，對網站日誌進行溯源追蹤，網站漏洞進行安全測試，程式碼進行安全審計，全方面的入手才能找出問題所在，如果您的APP也被攻擊存在漏洞，不知道該如何解決，修復漏洞，可以找專業的網站安全 滲透測試公司來解決，國內SINESAFE，鷹盾安全，綠盟，啟明星辰，深信服都是比較專業的、也由衷的希望我們此次的安全處理過的分享能夠幫到更多的人，網路安全了，我們才能放心的去運營APP。