某一客戶的網站,以及APP系統資料被篡改,金額被提現,導緻損失慘重,漏洞無從下手,經過朋友介紹找到我們,我們随即對客戶的網站伺服器情況進行大體了解.建議客戶做滲透測試服務.模拟攻擊者的手法對網站存在的資料篡改漏洞進行檢測與挖掘,就此滲透測試服務的過程進行記錄與分享.
首先客戶網站和APP的開發語言都是使用的PHP架構開發,後端使用的thinkphp開源系統,對會員進行管理以及資料的統計,包括充值,提現,下單功能.伺服器使用是linux系統.共有3個接口,分别是WEB前端,接口,背景,都采用的是action的方法來調用,并初始化資料.我們看下代碼
不同入口傳入過來的值,并進一步的操作都不一樣,我們技術在get,post,cookies的請求方式中,發現一個規律,在檢視代碼中發現都是使用的get()的方式來對傳入過來的值進行安全效驗與攔截.對一些特殊符号包括<> 都進行了安全轉義,不會直接輸入到後端中去.基本上的一些漏洞,XSS,SQL注入漏洞是不會很容易的找到.我們繼續對代碼進行分析與滲透測試,對漏洞多次的測試,終于找到一處存在SQL注入漏洞的代碼,存在于網站的會員頭像上傳功能.
我們抓取上傳的資料包,并進行修改,将惡意的SQL注入代碼寫入到資料包中,将頭像的圖檔内容進行修改送出過去,發現伺服器傳回錯誤,原因是對圖檔的内容進行了解析操作,并将上傳的路徑位址寫入到了資料庫,而這個寫入資料庫的圖檔路徑位址,并沒有做詳細的變量安全過濾,導緻SQL注入的發生,由此可見,攻擊者可以查詢資料庫裡的管理者賬号密碼,并登陸到系統背景進行提權.平台的背景目錄位址很容易遭到破解,背景名字寫的竟然是houtai2019,很容易讓攻擊者猜解到,使用SQL注入漏洞擷取到的管理者賬号密碼.登陸背景,上傳webshell,查到資料庫的賬戶密碼,進行連接配接,修改資料庫.
在對背景的滲透測試發現,背景也存在同樣的任意檔案上傳漏洞,upload值并沒有對檔案的格式,做安全效驗與過濾,導緻可以構造惡意的圖檔代碼,将save格式改為php,送出POST資料包過去,直接在網站的目錄下生成.php檔案.對此我們将滲透測試過程中發現的漏洞都進行了修複.
可能有些人會問了,那該如何修複滲透測試中發現的網站漏洞?
首先對SQL注入漏洞,我們建議大家對圖檔的路徑位址寫入到資料庫這裡,進行安全過濾,對于一些特殊字元,SQL注入攻擊代碼像select,等資料庫查詢的字元進行限制,有程式員的話,可以對路徑進行預編譯,動态生成檔案名,對ID等值隻允許輸入數字等的安全部署,如果對程式代碼不是太懂的話,也可以找專業的網站安全公司來解決,剩下的就是任意檔案上傳功能的漏洞修複,修複辦法是對上傳的檔案名,以及檔案格式做白名單限制,隻允許上傳jpg.png,gif,等圖檔檔案,對上傳的目錄做安全設定,不允許PHP等腳本檔案的執行,至此客戶網站資料被篡改的原因找到,經過滲透測試才發現漏洞的根源,不模拟攻擊者的手段.是永遠不會找到問題的原因的.也希望借此分享,能幫助到更多遇到網站被攻擊情況的客戶.