APP滲透測試目前包含了Android端+IOS端的漏洞檢測與安全測試,前段時間某金融客戶的APP被黑客惡意攻擊,導緻APP裡的使用者資料包括平台裡的賬号,密碼,手機号,姓名都被資訊洩露,通過老客戶的介紹找到我們SINE安全公司尋求安全防護上的技術支援,防止後期APP被攻擊以及資料篡改洩露等安全問題的發生。針對于客戶發生的網站被黑客攻擊以及使用者資料洩露的情況,我們立即成立了SINE安全移動端APP應急響應小組,關于APP滲透測試的内容以及如何解決的問題我們做了彙總,通過這篇文章來分享給大家。
首先要了解客戶的情況,知彼知己百戰不殆,客戶APP架構開發是Web(php語言)+VUE架構,伺服器采用的是Linux centos系統,資料庫與WEB APP端分離,通過内網進行傳輸,大部分金融以及虛拟币客戶都是采用此架構,有的是RDS資料庫,也基本都是内網傳輸,杜絕與前端的連接配接,防止資料被盜,但是如果前端伺服器(APP)存在漏洞導緻被黑客攻擊,那麼攻擊者很有可能利用該伺服器的權限去遠端連接配接資料庫端,導緻資料洩露,使用者資訊被盜取的可能。
然後對客戶伺服器裡的APP代碼,以及網站PHP源檔案進行代碼的安全審計,以及網站木馬檔案的檢測與清除,包括網站漏洞測試與挖掘,我們SINE安全都是人工進行代碼的安全審計與木馬檢查,下載下傳了客戶代碼到本地電腦裡進行操作,包括了APP的網站通路日志,以及APP的Android端+IOS端檔案也下載下傳了一份到手機裡。我們在檢測到客戶APP裡的充值功能這裡存在SQL注入漏洞,因為本身網站選擇的是thinkphp架構二次開發的,程式員在寫功能的時候未對充值金額的數值進行安全判斷,導緻可以遠端插入惡意的SQL注入代碼到伺服器後端進行操作,SQL注入漏洞可以查詢資料庫裡的任何内容,也可以寫入,更改,通過配合日志的查詢,我們發現該黑客直接讀取了APP背景的管理者賬号密碼,客戶使用的背景位址用的是二級域名,
開頭是admin.XXXXX.com,導緻攻擊者直接登入背景。我們在背景的日志也找到黑客的登入通路背景的日志,通過溯源追蹤,黑客的IP是菲律賓的,還發現背景存在檔案上傳功能,該功能的代碼我們SINE安全對其做了詳細的人工代碼安全審計與漏洞檢測,發現可以上傳任意檔案格式漏洞,包括可以上傳PHP腳本木馬。
攻擊者進一步的上傳了已預謀好的webshell檔案,對APP裡的網站資料庫配置檔案進行了檢視,利用APP前端伺服器的權限去連接配接了另外一台資料庫伺服器,導緻資料庫裡的内容全部被黑客打包導出,此次安全事件的根源問題才得以明了,我們SINE安全技術繼續對該金融客戶的APP網站代碼進行審計,總共發現4處漏洞,1,SQL注入漏洞,2,背景檔案上傳漏洞。3,XSS跨站漏洞,4,越權檢視其它使用者的銀行卡資訊漏洞。以及APP前端裡共人工審計出6個網站木馬後門檔案,包含了PHP大馬,PHP一句話木馬,PHP加密,PHP遠端調用下載下傳功能的代碼,mysql資料庫連接配接代碼,EVAL免殺馬等等。
我們SINE安全對SQL注入漏洞進行了修複,對get,post,cookies方式送出的參數值進行了安全過濾與校驗,限制惡意SQL注入代碼的輸入,對檔案上傳漏洞進行修複,限制檔案上傳的格式,以及字尾名,并做了檔案格式白名單機制。對XSS跨站代碼做了轉義,像經常用到的<>script 等等的攻擊字元做了攔截與轉義功能,當遇到以上惡意字元的時候自動轉義與攔截,防止前端送出到背景中去。對越權漏洞進行銀行卡檢視的漏洞做了目前賬戶權限所屬判斷,不允許跨層級的檢視任意銀行卡資訊,隻能檢視所屬賬戶下的銀行卡内容。對檢測出來的木馬後門檔案進行了隔離與強制删除,并對網站安全進行了防篡改部署,以及檔案夾安全部署,伺服器底層的安全設定,端口安全政策,等等的一系列安全防護措施。
至此客戶APP滲透測試中發現的網站漏洞都已被我們SINE安全修複,并做了安全防護加強,使用者資訊洩露的問題得以解決,問題既然發生了就得找到漏洞根源,對網站日志進行溯源追蹤,網站漏洞進行安全測試,代碼進行安全審計,全方面的入手才能找出問題所在,如果您的APP也被攻擊存在漏洞,不知道該如何解決,修複漏洞,可以找專業的網站安全滲透測試公司來解決,國内SINESAFE,鷹盾安全,綠盟,啟明星辰,深信服都是比較專業的、也由衷的希望我們此次的安全處理過的分享能夠幫到更多的人,網絡安全了,我們才能放心地去營運APP。