成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

APP被黑客攻擊導致數(shù)據(jù)篡改泄露 如何滲透測試漏洞與修復解決

2015-01-24    分類: 網站建設

滲透測試2.jpg

APP滲透測試目前包含了Android端+IOS端的漏洞檢測與安全測試,前段時間某金融客戶的APP被黑客惡意攻擊,導致APP里的用戶數(shù)據(jù)包括平臺里的賬號,密碼,手機號,姓名都被信息泄露,客戶尋求安全防護上的技術支持,防止后期APP被攻擊以及數(shù)據(jù)篡改泄露等安全問題的發(fā)生。針對于客戶發(fā)生的網站被黑客攻擊以及用戶資料泄露的情況,我們立即成立了移動端APP應急響應小組,關于APP滲透測試的內容以及如何解決的問題我們做了匯總,通過這篇文章來分享給大家。

首先要了解客戶的情況,知彼知己百戰(zhàn)不殆,客戶APP架構開發(fā)是Web(php語言)+VUE框架,服務器采用的是Linux centos系統(tǒng),數(shù)據(jù)庫與WEB APP端分離,通過內網進行傳輸,大部分金融以及虛擬幣客戶都是采用此架構,有的是RDS數(shù)據(jù)庫,也基本都是內網傳輸,杜絕與前端的連接,防止數(shù)據(jù)被盜,但是如果前端服務器(APP)存在漏洞導致被黑客攻擊,那么攻擊者很有可能利用該服務器的權限去遠程連接數(shù)據(jù)庫端,導致數(shù)據(jù)泄露,用戶信息被盜取的可能。

然后對客戶服務器里的APP代碼,以及網站PHP源文件進行代碼的安全審計,以及網站木馬文件的檢測與清除,包括網站漏洞測試與挖掘,我們都是人工進行代碼的安全審計與木馬檢查,下載了客戶代碼到本地電腦里進行操作,包括了APP的網站訪問日志,以及APP的Android端+IOS端文件也下載了一份到手機里。我們在檢測到客戶APP里的充值功能這里存在SQL注入漏洞,因為本身網站選擇的是thinkphp框架二次開發(fā)的,程序員在寫功能的時候未對充值金額的數(shù)值進行安全判斷,導致可以遠程插入惡意的SQL注入代碼到服務器后端進行操作,SQL注入漏洞可以查詢數(shù)據(jù)庫里的任何內容,也可以寫入,更改,通過配合日志的查詢,我們發(fā)現(xiàn)該黑客直接讀取了APP后臺的管理員賬號密碼,客戶使用的后臺地址用的是二級域名,開頭是admin.XXXXX.com,導致攻擊者直接登錄后臺。我們在后臺的日志也找到黑客的登錄訪問后臺的日志,通過溯源追蹤,黑客的IP是菲律賓的,還發(fā)現(xiàn)后臺存在文件上傳功能,該功能的代碼我們對其做了詳細的人工代碼安全審計與漏洞檢測,發(fā)現(xiàn)可以上傳任意文件格式漏洞,包括可以上傳PHP腳本木馬。

攻擊者進一步的上傳了已預謀好的webshell文件,對APP里的網站數(shù)據(jù)庫配置文件進行了查看,利用APP前端服務器的權限去連接了另外一臺數(shù)據(jù)庫服務器,導致數(shù)據(jù)庫里的內容全部被黑客打包導出,此次安全事件的根源問題才得以明了,我們繼續(xù)對該金融客戶的APP網站代碼進行審計,總共發(fā)現(xiàn)4處漏洞,1,SQL注入漏洞,2,后臺文件上傳漏洞。3,XSS跨站漏洞,4,越權查看其它用戶的銀行卡信息漏洞。以及APP前端里共人工審計出6個網站木馬后門文件,包含了PHP大馬,PHP一句話木馬,PHP加密,PHP遠程調用下載功能的代碼,mysql數(shù)據(jù)庫連接代碼,EVAL免殺馬等等。

我們對SQL注入漏洞進行了修復,對get,post,cookies方式提交的參數(shù)值進行了安全過濾與效驗,限制惡意SQL注入代碼的輸入,對文件上傳漏洞進行修復,限制文件上傳的格式,以及后綴名,并做了文件格式白名單機制。對XSS跨站代碼做了轉義,像經常用到的<>script 等等的攻擊字符做了攔截與轉義功能,當遇到以上惡意字符的時候自動轉義與攔截,防止前端提交到后臺中去。對越權漏洞進行銀行卡查看的漏洞做了當前賬戶權限所屬判斷,不允許跨層級的查看任意銀行卡信息,只能查看所屬賬戶下的銀行卡內容。對檢測出來的木馬后門文件進行了隔離與強制刪除,并對網站安全進行了防篡改部署,以及文件夾安全部署,服務器底層的安全設置,端口安全策略,等等的一系列安全防護措施。

至此客戶APP滲透測試中發(fā)現(xiàn)的網站漏洞都已被我們修復,并做了安全防護加固,用戶信息泄露的問題得以解決,問題既然發(fā)生了就得找到漏洞根源,對網站日志進行溯源追蹤,網站漏洞進行安全測試,代碼進行安全審計,全方面的入手才能找出問題所在,如果您的APP也被攻擊存在漏洞,不知道該如何解決,修復漏洞,可以找專業(yè)的網站安全滲透測試公司來解決,國內SINESAFE,鷹盾安全,綠盟,啟明星辰,深信服都是比較專業(yè)的、也由衷的希望我們此次的安全處理過的分享能夠幫到更多的人,網絡安全了,我們才能放心的去運營APP。

當前文章:APP被黑客攻擊導致數(shù)據(jù)篡改泄露 如何滲透測試漏洞與修復解決
網頁路徑:http://jinyejixie.com/news14/33264.html

成都網站建設公司_創(chuàng)新互聯(lián),為您提供企業(yè)建站、標簽優(yōu)化、搜索引擎優(yōu)化、全網營銷推廣、企業(yè)網站制作、面包屑導航

廣告

聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

網站建設網站維護公司
新昌县| 临漳县| 日喀则市| 桃江县| 婺源县| 施秉县| 循化| 洛阳市| 八宿县| 平塘县| 天等县| 大悟县| 余干县| 墨玉县| 遂宁市| 北票市| 高陵县| 丰县| 洱源县| 景德镇市| 西丰县| 贞丰县| 深水埗区| 花垣县| 广河县| 兴城市| 横峰县| 台中市| 天津市| 扎赉特旗| 浠水县| 年辖:市辖区| 睢宁县| 沅江市| 邓州市| 泸溪县| 孟州市| 大庆市| 右玉县| 合阳县| 神农架林区|