域名预订/竞价,好“米”不错过
APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持,防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况,我们立即成立了SINE安全移动端APP应急响应小组,关于APP渗透测试的内容以及如何解决的问题我们做了汇总,通过这篇文章来分享给大家。
首先要了解客户的情况,知彼知己百战不殆,客户APP架构开发是Web(php语言)+VUE框架,服务器采用的是Linux centos系统,数据库与WEB APP端分离,通过内网进行传输,大部分金融以及虚拟币客户都是采用此架构,有的是RDS数据库,也基本都是内网传输,杜绝与前端的连接,防止数据被盗,但是如果前端服务器(APP)存在漏洞导致被黑客攻击,那么攻击者很有可能利用该服务器的权限去远程连接数据库端,导致数据泄露,用户信息被盗取的可能。
然后对客户服务器里的APP代码,以及网站PHP源文件进行代码的安全审计,以及网站木马文件的检测与清除,包括网站漏洞测试与挖掘,我们SINE安全都是人工进行代码的安全审计与木马检查,下载了客户代码到本地电脑里进行操作,包括了APP的网站访问日志,以及APP的Android端+IOS端文件也下载了一份到手机里。我们在检测到客户APP里的充值功能这里存在SQL注入漏洞,因为本身网站选择的是thinkphp框架二次开发的,程序员在写功能的时候未对充值金额的数值进行安全判断,导致可以远程插入恶意的SQL注入代码到服务器后端进行操作,SQL注入漏洞可以查询数据库里的任何内容,也可以写入,更改,通过配合日志的查询,我们发现该黑客直接读取了APP后台的管理员账号密码,客户使用的后台地址用的是二级域名,开头是admin.XXXXX.com,导致攻击者直接登录后台。我们在后台的日志也找到黑客的登录访问后台的日志,通过溯源追踪,黑客的IP是菲律宾的,还发现后台存在文件上传功能,该功能的代码我们SINE安全对其做了详细的人工代码安全审计与漏洞检测,发现可以上传任意文件格式漏洞,包括可以上传PHP脚本木马。