api接口安全漏洞檢測測試過程

時間：2020-03-26作者：青島四海通達電子科技有限公司瀏覽：1825

某一客戶的網(wǎng)站,以及APP系統(tǒng)數(shù)據(jù)被篡改,金額被提現(xiàn),導致?lián)p失慘重,漏洞無從下手,經(jīng)過朋友介紹找到我們SINE安全公司,我們隨即對客戶的網(wǎng)站服務(wù)器情況進行大體了解.建議客戶做滲透測試服務(wù).模擬攻擊者的手法對網(wǎng)站存在的數(shù)據(jù)篡改漏洞進行檢測與挖掘,就此滲透測試服務(wù)的過程進行記錄與分享.

首先客戶網(wǎng)站和APP的開發(fā)語言都是使用的PHP架構(gòu)開發(fā),后端使用的thinkphp開源系統(tǒng),對會員進行管理以及資料的統(tǒng)計,包括充值,提現(xiàn),下單功能.服務(wù)器使用是linux系統(tǒng).共有3個接口,分別是WEB**,接口,后臺,都采用的是action的方法來調(diào)用,并初始化數(shù)據(jù).我們看下代碼

不同入口傳入過來的值,并進一步的操作都不一樣,我們SINE安全技術(shù)在get,post,cookies的請求方式中,發(fā)現(xiàn)一個規(guī)律,在查看代碼中發(fā)現(xiàn)都是使用的get()的方式來對傳入過來的值進行安**驗與攔截.對一些特殊符號包括<> 都進行了安全轉(zhuǎn)義,不會直接輸入到后端中去.基本上的一些漏洞,XSS,SQL注入漏洞是不會很*的找到.我們繼續(xù)對代碼進行分析與滲透測試,對漏洞多次的測試,終于找到一處存在SQL注入漏洞的代碼,存在于網(wǎng)站的會員頭像上傳功能.

我們抓取上傳的數(shù)據(jù)包,并進行修改,將惡意的SQL注入代碼寫入到數(shù)據(jù)包中,將頭像的圖片內(nèi)容進行修改提交過去,發(fā)現(xiàn)服務(wù)器返回錯誤,原因是對圖片的內(nèi)容進行了解析操作,并將上傳的路徑地址寫入到了數(shù)據(jù)庫,而這個寫入數(shù)據(jù)庫的圖片路徑地址,并沒有做詳細的變量安全過濾,導致SQL注入的發(fā)生,由此可見,攻擊者可以查詢數(shù)據(jù)庫里的管理員賬號密碼,并登陸到系統(tǒng)后臺進行提權(quán).平臺的后臺目錄地址很*遭到破解,后臺名字寫的竟然是houtai2019,很*讓攻擊者猜解到,使用SQL注入漏洞獲取到的管理員賬號密碼.登陸后臺,上傳webshell,查到數(shù)據(jù)庫的賬戶密碼,進行連接,修改數(shù)據(jù)庫.

在對后臺的滲透測試發(fā)現(xiàn),后臺也存在同樣的任意文件上傳漏洞,upload值并沒有對文件的格式,做安**驗與過濾,導致可以構(gòu)造惡意的圖片代碼,將save格式改為php,提交POST數(shù)據(jù)**去,直接在網(wǎng)站的目錄下生成.php文件.對此我們SINE安全將滲透測試過程中發(fā)現(xiàn)的漏洞都進行了修復.

可能有些人會問了,那該如何修復滲透測試中發(fā)現(xiàn)的網(wǎng)站漏洞?

首先對SQL注入漏洞,我們SINE安全建議大家對圖片的路徑地址寫入到數(shù)據(jù)庫這里,進行安全過濾,對于一些特殊字符,SQL注入攻擊代碼像select,等數(shù)據(jù)庫查詢的字符進行限制,有程序員的話,可以對路徑進行預(yù)編譯,動態(tài)生成文件名,對ID等值只允許輸入數(shù)字等的安全部署,如果對程序代碼不是太懂的話,也可以找專業(yè)的網(wǎng)站安全公司來解決,國內(nèi)像SINESAFE,啟**辰,綠盟都是比較專業(yè)的,剩下的就是任意文件上傳功能的漏洞修復,修復辦法是對上傳的文件名,以及文件格式做白名單限制,只允許上傳jpg.png,gif,等圖片文件,對上傳的目錄做安全設(shè)置,不允許PHP等腳本文件的執(zhí)行,至此客戶網(wǎng)站數(shù)據(jù)被篡改的原因找到,經(jīng)過滲透測試才發(fā)現(xiàn)漏洞的根源,不模擬攻擊者的手段.是永遠不會找到問題的原因的.也希望借此分享,能幫助到更多遇到網(wǎng)站被攻擊情況的客戶.


青島四海通達電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護,網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 什么是網(wǎng)站安全顧問

  網(wǎng)站安全顧問就像醫(yī)生一樣。他可以根據(jù)醫(yī)學知識和臨床經(jīng)驗，結(jié)合各種檢查數(shù)據(jù)給出**方案。請注意藥物的類比，這是一個值得深入思考的點，因為藥物本身是醫(yī)療解決方案的物質(zhì)載體，承載著所有醫(yī)學知識共同體對某一疾病的解決方案。安全服務(wù)解決方案也具有相同的特點，承載著相關(guān)安全工程知識和經(jīng)驗的解決方案。安全醫(yī)生能給出有效的**方案一樣，安全醫(yī)生能給出有效的**方案一樣有意義。什么是網(wǎng)站安全咨詢？答：借助安全*豐

• 網(wǎng)站被黑怎么分析查找跳轉(zhuǎn)代碼

  網(wǎng)站被黑癥狀的一種形式，也就是web**被黑了，我來說說網(wǎng)站頁面被劫持的一個癥狀和處理方法。首先我們先來看一下這個癥狀是什么樣的，這里我找到了一個客戶網(wǎng)站的案例，那么當我在通過搜索某些關(guān)鍵詞的時候，當我點擊這個鏈接的時候，它會給你跳到這種違規(guī)網(wǎng)站的頁面上去，那么怎么樣判斷它是**還是后端腳本進行了一個劫持呢，那么我們就把這個鏈接復制過來，復制好了后，我打開這個調(diào)試面板，然后在這里有一個 setti

• 網(wǎng)站漏洞掃描 網(wǎng)站安全防護與漏洞掃描的關(guān)系

  網(wǎng)站漏洞掃描 網(wǎng)站安全防護與漏洞掃描的關(guān)系網(wǎng)站安全防護和漏洞掃描之間的關(guān)系，應(yīng)該是*和調(diào)查人員之間的關(guān)系，較終目標是一致的，但實際的工作目標是不同的。網(wǎng)站安全保護包括漏洞掃描，漏洞掃描是網(wǎng)站安全保護的檢測工具，可以使網(wǎng)站安全管理人員或網(wǎng)站站長較清楚網(wǎng)站當前的安**力，將面臨什么已知的網(wǎng)絡(luò)攻擊風險。漏洞掃描有助于網(wǎng)站安全保護的建設(shè)，也有助于日常網(wǎng)絡(luò)安全監(jiān)督的重要環(huán)節(jié)。對于攻擊者來說，網(wǎng)站的漏洞是他

• 內(nèi)網(wǎng)滲透基礎(chǔ)

  在感知形勢一年多后，我收到了大量的大數(shù)據(jù)安全和人工智能安全經(jīng)驗。但是感知形勢的蛋糕太大了，每個人都一口吃完了。為了開拓市場，擴大感知形勢的蛋糕，我們需要涉足更多的安全知識。因此，下班后，我開始了對內(nèi)網(wǎng)安全攻擊和防御的研究，準備做一個*作，快速閃電（一個月），吃內(nèi)網(wǎng)滲透（域控安全），感興趣的朋友可以買這本書，我的實驗也來自這本書。培養(yǎng)自己的狼意識、敏銳的嗅覺、不屈不撓的進攻精神、團隊斗爭。0x01