如何查找APP漏洞并滲透測(cè)試 解決網(wǎng)站被黑客攻擊

    APP滲透測(cè)試目前包含了Android端+IOS端的漏洞檢測(cè)與安全測(cè)試,前段時(shí)間某金融客戶的APP被黑客惡意攻擊,導(dǎo)致APP里的用戶數(shù)據(jù)包括平臺(tái)里的賬號(hào),密碼,手機(jī)號(hào),姓名都被信息泄露,通過老客戶的介紹找到我們SINE安全公司尋求安全防護(hù)上的技術(shù)支持,防止后期APP被攻擊以及數(shù)據(jù)篡改泄露等安全問題的發(fā)生。針對(duì)于客戶發(fā)生的網(wǎng)站被黑客攻擊以及用戶資料泄露的情況,我們立即成立了SINE安全移動(dòng)端APP應(yīng)急響應(yīng)小組,關(guān)于APP滲透測(cè)試的內(nèi)容以及如何解決的問題我們做了匯總,通過這篇文章來分享給大家。

    首先要了解客戶的情況,知彼知己百戰(zhàn)不殆,客戶APP架構(gòu)開發(fā)是Web(php語言)+VUE框架,服務(wù)器采用的是Linux centos系統(tǒng),數(shù)據(jù)庫與WEB APP端分離,通過內(nèi)網(wǎng)進(jìn)行傳輸,大部分金融以及虛擬幣客戶都是采用此架構(gòu),有的是RDS數(shù)據(jù)庫,也基本都是內(nèi)網(wǎng)傳輸,杜絕與**的連接,防止數(shù)據(jù)被盜,但是如果**服務(wù)器(APP)存在漏洞導(dǎo)致被黑客攻擊,那么攻擊者很有可能利用該服務(wù)器的權(quán)限去遠(yuǎn)程連接數(shù)據(jù)庫端,導(dǎo)致數(shù)據(jù)泄露,用戶信息被盜取的可能。

    然后對(duì)客戶服務(wù)器里的APP代碼,以及網(wǎng)站PHP源文件進(jìn)行代碼的安全審計(jì),以及網(wǎng)站木馬文件的檢測(cè)與清除,包括網(wǎng)站漏洞測(cè)試與挖掘,我們SINE安全都是人工進(jìn)行代碼的安全審計(jì)與木馬檢查,下載了客戶代碼到本地電腦里進(jìn)行操作,包括了APP的網(wǎng)站訪問日志,以及APP的Android端+IOS端文件也下載了一份到手機(jī)里。我們?cè)跈z測(cè)到客戶APP里的充值功能這里存在SQL注入漏洞,因?yàn)楸旧砭W(wǎng)站選擇的是thinkphp框架二次開發(fā)的,程序員在寫功能的時(shí)候未對(duì)充值金額的數(shù)值進(jìn)行安全判斷,導(dǎo)致可以遠(yuǎn)程插入惡意的SQL注入代碼到服務(wù)器后端進(jìn)行操作,SQL注入漏洞可以查詢數(shù)據(jù)庫里的任何內(nèi)容,也可以寫入,更改,通過配合日志的查詢,我們發(fā)現(xiàn)該黑客直接讀取了APP后臺(tái)的管理員賬號(hào)密碼,客戶使用的后臺(tái)地址用的是二級(jí)域名,開頭是,導(dǎo)致攻擊者直接登錄后臺(tái)。我們?cè)诤笈_(tái)的日志也找到黑客的登錄訪問后臺(tái)的日志,通過溯源追蹤,黑客的IP是菲律賓的,還發(fā)現(xiàn)后臺(tái)存在文件上傳功能,該功能的代碼我們SINE安全對(duì)其做了詳細(xì)的人工代碼安全審計(jì)與漏洞檢測(cè),發(fā)現(xiàn)可以上傳任意文件格式漏洞,包括可以上傳PHP腳本木馬。

    攻擊者進(jìn)一步的上傳了已預(yù)謀好的webshell文件,對(duì)APP里的網(wǎng)站數(shù)據(jù)庫配置文件進(jìn)行了查看,利用APP**服務(wù)器的權(quán)限去連接了另外一臺(tái)數(shù)據(jù)庫服務(wù)器,導(dǎo)致數(shù)據(jù)庫里的內(nèi)容全部被黑客打包導(dǎo)出,此次安全事件的根源問題才得以明了,我們SINE安全技術(shù)繼續(xù)對(duì)該金融客戶的APP網(wǎng)站代碼進(jìn)行審計(jì),總共發(fā)現(xiàn)4處漏洞,1,SQL注入漏洞,2,后臺(tái)文件上傳漏洞。3,XSS跨站漏洞,4,越權(quán)查看其它用戶的銀行卡信息漏洞。以及APP**里共人工審計(jì)出6個(gè)網(wǎng)站木馬后門文件,包含了PHP大馬,PHP一句話木馬,PHP加密,PHP遠(yuǎn)程調(diào)用下載功能的代碼,mysql數(shù)據(jù)庫連接代碼,EVAL免殺馬等等。

    我們SINE安全對(duì)SQL注入漏洞進(jìn)行了修復(fù),對(duì)get,post,cookies方式提交的參數(shù)值進(jìn)行了安全過濾與效驗(yàn),限制惡意SQL注入代碼的輸入,對(duì)文件上傳漏洞進(jìn)行修復(fù),限制文件上傳的格式,以及后綴名,并做了文件格式白名單機(jī)制。對(duì)XSS跨站代碼做了轉(zhuǎn)義,像經(jīng)常用到的<>script 等等的攻擊字符做了攔截與轉(zhuǎn)義功能,當(dāng)遇到以上惡意字符的時(shí)候自動(dòng)轉(zhuǎn)義與攔截,防止**提交到后臺(tái)中去。對(duì)越權(quán)漏洞進(jìn)行銀行卡查看的漏洞做了當(dāng)前賬戶權(quán)限所屬判斷,不允許跨層級(jí)的查看任意銀行卡信息,只能查看所屬賬戶下的銀行卡內(nèi)容。對(duì)檢測(cè)出來的木馬后門文件進(jìn)行了隔離與強(qiáng)制刪除,并對(duì)網(wǎng)站安全進(jìn)行了防篡改部署,以及文件夾安全部署,服務(wù)器底層的安全設(shè)置,端口安全策略,等等的一系列安全防護(hù)措施。

    至此客戶APP滲透測(cè)試中發(fā)現(xiàn)的網(wǎng)站漏洞都已被我們SINE安全修復(fù),并做了安全防護(hù)加固,用戶信息泄露的問題得以解決,問題既然發(fā)生了就得找到漏洞根源,對(duì)網(wǎng)站日志進(jìn)行溯源追蹤,網(wǎng)站漏洞進(jìn)行安全測(cè)試,代碼進(jìn)行安全審計(jì),全方面的入手才能找出問題所在,如果您的APP也被攻擊存在漏洞,不知道該如何解決,修復(fù)漏洞,可以找專業(yè)的網(wǎng)站安全滲透測(cè)試公司來解決,國(guó)內(nèi)SINESAFE,鷹盾安全,綠盟,啟**辰,深信服都是比較專業(yè)的、也由衷的希望我們此次的安全處理過的分享能夠幫到更多的人,網(wǎng)絡(luò)安全了,我們才能放心的去運(yùn)營(yíng)APP。


    青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測(cè),滲透測(cè)試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測(cè)等, 歡迎致電 13280888826

  • 詞條

    詞條說明

  • 服務(wù)器安全防護(hù)措施有哪些

    以下是一些常見的服務(wù)器安全防護(hù)措施:定期較新和升級(jí)操作系統(tǒng)和軟件,及時(shí)安裝較新的補(bǔ)丁和安全較新,以修復(fù)已知的漏洞和安全問題。強(qiáng)化訪問控制,包括使用強(qiáng)密碼、多因素認(rèn)證、限制登錄嘗試次數(shù)、限制遠(yuǎn)程訪問等。只授權(quán)必要的人員訪問服務(wù)器,并定期審查和較新訪問權(quán)限。配置和管理*墻,限制入站和出站流量,阻止未經(jīng)授權(quán)的訪問和攻擊。可以使用網(wǎng)絡(luò)安全設(shè)備,如入侵檢測(cè)和防御系統(tǒng),監(jiān)控網(wǎng)絡(luò)流量和異?;顒?dòng)。使用加密協(xié)議和

  • 網(wǎng)站建設(shè)與維護(hù)

    網(wǎng)站建設(shè)與維護(hù)網(wǎng)站維護(hù)是一個(gè)網(wǎng)站后期的工作主要內(nèi)容和**部分。1、服務(wù)器軟件維護(hù)包括服務(wù)器、操作系統(tǒng)、和Internet聯(lián)接線路等等,以確保網(wǎng)站的24小時(shí)不間斷正常運(yùn)行。2、服務(wù)器硬件維護(hù)計(jì)算機(jī)硬件在使用中常會(huì)出現(xiàn)一些問題,同樣,網(wǎng)絡(luò)設(shè)備也同樣影響企業(yè)網(wǎng)站的工作效率,網(wǎng)絡(luò)設(shè)備管理屬于技術(shù)操作,非專業(yè)人員的誤操作有可能導(dǎo)致整個(gè)企業(yè)網(wǎng)站癱瘓。沒有任何操作系統(tǒng)是**安全的。維護(hù)操作系統(tǒng)的安全必須不斷的留

  • 網(wǎng)站滲透測(cè)試 入侵檢測(cè)和應(yīng)急響應(yīng)方案

    由于時(shí)間比較緊,年底業(yè)務(wù)比較多在此很多朋友想要了解我們Sine安全對(duì)于滲透測(cè)試安全檢測(cè)以及應(yīng)急響應(yīng)的具體操作實(shí)踐過程,對(duì)于漏洞發(fā)生問題的根源和即時(shí)的處理解決修補(bǔ)網(wǎng)站漏洞的響應(yīng)時(shí)間進(jìn)行全面的了解和預(yù)防,使公司組建一個(gè)較加專業(yè)的安全部門來阻擋黑客的攻擊和入侵!6.7.1. 常見入侵點(diǎn)Web入侵高危服務(wù)入侵6.7.2. 常見實(shí)現(xiàn)6.7.2.1. 客戶端監(jiān)控監(jiān)控敏感配置文件常用命令ELF文件完整性監(jiān)控ps

  • 網(wǎng)站安全檢測(cè)如何做

    網(wǎng)站安全檢測(cè)如何做制定計(jì)劃,確定范圍和策略;一個(gè)完整的WEB安全性可以從部署與基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)、會(huì)話管理、加密、參數(shù)操作、異常管理、審核和日志記錄等幾個(gè)方面入手。舉幾個(gè)例子網(wǎng)站安全檢測(cè)如何做一、 安全體系1、部署與基礎(chǔ)結(jié)構(gòu) 網(wǎng)絡(luò)是否提供了安全的通信 部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的*墻 部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器 基礎(chǔ)結(jié)構(gòu)安全性需求的限制是什么 目標(biāo)

聯(lián)系方式 聯(lián)系我時(shí),請(qǐng)告知來自八方資源網(wǎng)!

公司名: 青島四海通達(dá)電子科技有限公司

聯(lián)系人: 陳雷

電 話: 0532-87818300

手 機(jī): 13280888826

微 信: 13280888826

地 址: 山東青島市北區(qū)山東省青島市城陽區(qū)黑龍江路招商Lavie公社23#別墅

郵 編:

網(wǎng) 址: safe.b2b168.com

八方資源網(wǎng)提醒您:
1、本信息由八方資源網(wǎng)用戶發(fā)布,八方資源網(wǎng)不介入任何交易過程,請(qǐng)自行甄別其真實(shí)性及合法性;
2、跟進(jìn)信息之前,請(qǐng)仔細(xì)核驗(yàn)對(duì)方資質(zhì),所有預(yù)付定金或付款至個(gè)人賬戶的行為,均存在詐騙風(fēng)險(xiǎn),請(qǐng)?zhí)岣呔瑁?
    聯(lián)系方式

公司名: 青島四海通達(dá)電子科技有限公司

聯(lián)系人: 陳雷

手 機(jī): 13280888826

電 話: 0532-87818300

地 址: 山東青島市北區(qū)山東省青島市城陽區(qū)黑龍江路招商Lavie公社23#別墅

郵 編:

網(wǎng) 址: safe.b2b168.com

    相關(guān)企業(yè)
    商家產(chǎn)品系列
  • 產(chǎn)品推薦
  • 資訊推薦
關(guān)于八方 | 八方幣 | 招商合作 | 網(wǎng)站地圖 | 免費(fèi)注冊(cè) | 一元廣告 | 友情鏈接 | 聯(lián)系我們 | 八方業(yè)務(wù)| 匯款方式 | 商務(wù)洽談室 | 投訴舉報(bào)
粵ICP備10089450號(hào)-8 - 經(jīng)營(yíng)許可證編號(hào):粵B2-20130562 軟件企業(yè)認(rèn)定:深R-2013-2017 軟件產(chǎn)品登記:深DGY-2013-3594
著作權(quán)登記:2013SR134025
Copyright ? 2004 - 2024 b2b168.com All Rights Reserved