应用渗透测试目前包括安卓+IOS漏洞检测和安全测试。前一段时间,一个金融客户的APP遭到黑客恶意攻击,导致APP中的用户数据,包括账号、密码、手机号码和平台中的名字被泄露。通过对老客户的介绍,我们发现我们寻求安全保护方面的技术支持,以防止后期出现APP攻击、数据篡改和泄露等安全问题。为了应对黑客对客户网站的攻击和用户数据的泄露,我们立即成立了移动应用应急小组。我们总结了APP渗透测试的内容以及如何解决问题,并通过本文与您分享。
首先需要了解客户的情况,了解敌人,了解自己。客户应用程序框架的开发是网络(php语言)+VUE框架。服务器采用Linux操作系统。数据库与网络应用程序端分离,通过内部网传输。大多数金融和虚拟货币客户都使用这一框架。有些是RDS数据库,基本上是通过内部网传输的。结束与前端的连接,防止数据被盗。但是,如果前端服务器(APP)存在漏洞并受到黑客攻击,那么攻击者很可能会利用服务器的权限远程连接到数据库,从而导致数据泄漏和用户信息被盗的可能性。
然后对客户端服务器中的APP代码和网站的PHP源文件进行代码安全审计,并检测和删除网站上的特洛伊木马文件,包括网站漏洞测试和挖掘。我们的安全措施是手动进行代码安全审计和木马检查,将客户端代码下载到本地计算机上运行,包括APP的网站访问日志,并将APP的安卓+IOS文件下载到手机上。我们发现客户应用程序的充值功能中存在一个SQL注入漏洞,因为网站本身选择了thinkphp框架进行二次开发。程序员在编写函数时没有对充值金额的值进行安全判断,导致恶意的SQL注入代码可以远程插入服务器的后端进行操作。SQL注入漏洞可以查询数据库中的任何内容,也可以写入和更改。通过匹配日志查询,我们发现黑客在APP后台直接读取管理员账户的密码,客户使用的后台地址是从admin.XXXXX.com开始的二级域名,导致攻击者直接登录后台。我们还在后台日志中发现了黑客登录和访问后台的日志。通过溯源,黑客的IP来自菲律宾。我们还发现后台有一个文件上传功能。我们的安全技术对该功能的代码进行了详细的手工代码安全审计和漏洞检测,发现任何文件格式的漏洞都可以上传,包括可以上传PHP脚本的木马。
攻击者进一步上传预谋的webshell文件,检查APP中的网站数据库配置文件,并将另一个数据库服务器与APP前端服务器连接,导致数据库中的所有内容被黑客打包导出。只有到那时,这一安全事件的根本原因才变得清楚。我们的安全技术继续审计该金融客户的应用程序网站代码,共发现4个漏洞,1个,SQL注入漏洞,2个,后台文件上传漏洞3、XSS跨站点漏洞,4、未经授权访问其他用户银行卡信息的漏洞并且APP前端已经手工审计了6个网站木马后门文件,包括PHP马亚、PHP单句木马、PHP加密、PHP远程调用下载功能代码、mysql数据库连接代码、EVAL免费木马等
我们的安全技术人员修复了SQL注入漏洞,安全过滤并验证了GET、POST和Cookies提交的参数值,限制了恶意SQL注入代码的输入,修复了文件上传漏洞,限制了文件上传格式和后缀,并制定了文件格式白名单机制XSS跨站点代码是转义的,就像常用的< & gt当遇到上述恶意字符时,脚本和其他攻击字符会被自动拦截和转义,以防止前端被提交到后台。对于越权漏洞,银行卡查看漏洞被判断为属于活期账户权限。不允许跨级查看任何银行卡信息,只能查看关联账户下的银行卡内容。检测到的木马后门文件被隔离并强制删除,并采取一系列安全保护措施,如网站安全防篡改部署、文件夹安全部署、服务器底部安全设置、端口安全策略等。实现了。
在客户的APP渗透测试中发现的网站漏洞已由我们修复和保护。用户信息公开的问题已经解决。由于问题发生,必须找到漏洞的根源,网站日志必须追溯到其来源,网站漏洞必须进行安全测试,代码必须接受安全审计。这个问题只能从各个方面找到。如果你的应用程序也受到漏洞攻击,我不知道如何解决这个问题。为了弥补这个漏洞,我们可以找一家专业的网站安全公司来解决。我们真诚地希望我们这次安全处理的分享能帮助更多的人。只有当网络安全时,我们才能安全地运行应用程序。