最新公告
  • 欢迎您光临,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 升级SVIP会员,尊享全站资源无限下载

    APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持,防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况,我们立即成立了SINE安全移动端APP应急响应小组,关于APP渗透测试的内容以及如何解决的问题我们做了汇总,通过这篇文章来分享给大家。

    首先要了解客户的情况,知彼知己百战不殆,客户APP架构开发是Web(php语言)+VUE框架,服务器采用的是Linux centos系统,数据库与WEB APP端分离,通过内网进行传输,大部分金融以及虚拟币客户都是采用此架构,有的是RDS数据库,也基本都是内网传输,杜绝与前端的连接,防止数据被盗,但是如果前端服务器(APP)存在漏洞导致被黑客攻击,那么攻击者很有可能利用该服务器的权限去远程连接数据库端,导致数据泄露,用户信息被盗取的可能。

    然后对客户服务器里的APP代码,以及网站PHP源文件进行代码的安全审计,以及网站木马文件的检测与清除,包括网站漏洞测试与挖掘,我们SINE安全都是人工进行代码的安全审计与木马检查,下载了客户代码到本地电脑里进行操作,包括了APP的网站访问日志,以及APP的Android端+IOS端文件也下载了一份到手机里。我们在检测到客户APP里的充值功能这里存在SQL注入漏洞,因为本身网站选择的是thinkphp框架二次开发的,程序员在写功能的时候未对充值金额的数值进行安全判断,导致可以远程插入恶意的SQL注入代码到服务器后端进行操作,SQL注入漏洞可以查询数据库里的任何内容,也可以写入,更改,通过配合日志的查询,我们发现该黑客直接读取了APP后台的管理员账号密码,客户使用的后台地址用的是二级域名,开头是admin.XXXXX.com,导致攻击者直接登录后台。我们在后台的日志也找到黑客的登录访问后台的日志,通过溯源追踪,黑客的IP是菲律宾的,还发现后台存在文件上传功能,该功能的代码我们SINE安全对其做了详细的人工代码安全审计与漏洞检测,发现可以上传任意文件格式漏洞,包括可以上传PHP脚本木马。

    攻击者进一步的上传了已预谋好的webshell文件,对APP里的网站数据库配置文件进行了查看,利用APP前端服务器的权限去连接了另外一台数据库服务器,导致数据库里的内容全部被黑客打包导出,此次安全事件的根源问题才得以明了,我们SINE安全技术继续对该金融客户的APP网站代码进行审计,总共发现4处漏洞,1,SQL注入漏洞,2,后台文件上传漏洞。3,XSS跨站漏洞,4,越权查看其它用户的银行卡信息漏洞。以及APP前端里共人工审计出6个网站木马后门文件,包含了PHP大马,PHP一句话木马,PHP加密,PHP远程调用下载功能的代码,mysql数据库连接代码,EVAL免杀马等等。

    我们SINE安全对SQL注入漏洞进行了修复,对get,post,cookies方式提交的参数值进行了安全过滤与效验,限制恶意SQL注入代码的输入,对文件上传漏洞进行修复,限制文件上传的格式,以及后缀名,并做了文件格式白名单机制。对XSS跨站代码做了转义,像经常用到的<>script 等等的攻击字符做了拦截与转义功能,当遇到以上恶意字符的时候自动转义与拦截,防止前端提交到后台中去。对越权漏洞进行银行卡查看的漏洞做了当前账户权限所属判断,不允许跨层级的查看任意银行卡信息,只能查看所属账户下的银行卡内容。对检测出来的木马后门文件进行了隔离与强制删除,并对网站安全进行了防篡改部署,以及文件夹安全部署,服务器底层的安全设置,端口安全策略,等等的一系列安全防护措施。

    至此客户APP渗透测试中发现的网站漏洞都已被我们SINE安全修复,并做了安全防护加固,用户信息泄露的问题得以解决,问题既然发生了就得找到漏洞根源,对网站日志进行溯源追踪,网站漏洞进行安全测试,代码进行安全审计,全方面的入手才能找出问题所在,如果您的APP也被攻击存在漏洞,不知道该如何解决,修复漏洞,可以找专业的网站安全渗透测试公司来解决,国内SINESAFE,鹰盾安全,绿盟,启明星辰,深信服都是比较专业的、也由衷的希望我们此次的安全处理过的分享能够帮到更多的人,网络安全了,我们才能放心的去运营APP。

    猜你喜欢

    • APP渗透测试流程 漏洞检测与安全加固方面介绍_建站经验

      2020-02-11

    • 怎样的设计才能让网站logo更加出彩?_建站经验

      2020-02-09

    • 常见的网上商城系统开发语言有哪些?_建站经验

      2019-12-27

    • 卡片式设计很好,但这些误区需要避免_建站经验

      2020-01-21

    • 企业网站建设要分五步走_建站经验

      2020-01-08

    • 谈谈分销系统那些事_建站经验

      2020-03-21

    • 玩游戏也能赚钱 建立个人游戏博客赚钱_建站经验

      2020-01-14

    • 企业建站选择困难?试试自助建站系统_建站经验

      2020-01-10

    • 如何解决网站被DDOS攻击?彻底恢复网站的正常访问_建站经验

      2020-02-14

    • 企业网站建设一点要‘走心’,从这四点考虑_建站经验

      2020-01-08

    • 企业建站CMS系统选择哪家好?我总结了一下_建站经验

      2020-01-10

    • 网站被黑客攻击 企业如何进行网站安全防护_建站经验

      2020-03-07

    • SSL证书的这些误区你“踩”了吗?_建站经验

      2020-01-10

    • 如何搭建网上商城系统?_建站经验

      2019-12-27

    • 今天在群里看到有小伙伴在讨论搬砖的话题,在此给各位站长一个建议。

      2020-04-18

    • 企业选择建站系统 主要考虑这4个方面_建站经验

      2020-01-10

    • 企业网站建设中4点基础的思路和方法_建站经验

      2020-01-08

    • 网站上线需要做好哪些工作?_建站经验

      2020-02-07

    • 企业建站需要了解什么?_建站经验

      2020-01-10

    • 企业建站 怎样选个好的网站供应商_建站经验

      2020-01-10

    猜你在找

    织梦模板下载
    网站源码下载
    企业源码下载
    公司源码下载
    政府源码下载
    会员源码下载
    推广源码下载
    交流源码下载
    办公源码下载
    软件源码下载
    电脑源码下载
    商城源码下载
    淘客源码下载
    网店源码下载
    图片源码下载
    素材源码下载
    资源源码下载
    域名源码下载
    空间源码下载
    建站源码下载
    导航源码下载
    目录源码下载
    友链源码下载
    小说源码下载
    新闻源码下载
    博客源码下载
    房产源码下载
    装修源码下载
    教育源码下载
    支付源码下载
    金融源码下载
    货币源码下载
    汽车源码下载
    车行源码下载
    交通源码下载
    游戏源码下载
    交友源码下载
    直播源码下载
    电影源码下载
    视频源码下载
    音乐源码下载
    资源源码下载
    下载源码下载
    技术源码下载
    门户源码下载
    论坛源码下载
    信息源码下载
    餐饮源码下载
    旅游源码下载
    运输源码下载
    织梦模板
    网站源码
    织梦cms模板
    织梦小说模板
    织梦企业模板
    织梦模板网
    织梦企业站模板
    大西北织梦模板
    织梦模板免费下载
    dedecms模板
    dede模板
    dedecms 模板
    dedecms企业模板
    dede源码
    discuz模板
    discuz 模板
    discuz模板下载
    discuz论坛模板
    discuz门户模板
    论坛模板
    discuz论坛模板
    模板论坛
    dz论坛模板
    discuz源码
    discuz源码下载

    本文为amz博客的原创或转载文章,如有侵权,请点击网站右下角联系客服,为了保护原创作者及本站的版权,遵循33890版权协议,转载请附上原文出处链接及本声明,谢谢。
    amz博客-网站源码-一个免费的互联网资源分享平台-网站源码免费下载 » APP被黑客攻击导致数据篡改泄露 如何渗透测试漏洞与修复解决_建站经验
    • 3032会员总数(位)
    • 21562资源总数(个)
    • 0本周发布(个)
    • 0 今日发布(个)
    • 291稳定运行(天)

    amz博客-提供最优质的资源集合

    立即查看 了解详情