【QQ机器人】

山木智能_智赢天下,能聚烧友

 找回密码
 立即注册

快捷登录

查看: 21|回复: 0

怎样查找APP毛病并渗出测试办理网站被黑客攻击

[复制链接]

562

主题

562

帖子

22

积分

新手上路

Rank: 1

积分
22
发表于 2020-2-4 18:37:08 | 显示全部楼层 |阅读模式
APP渗出测试现在包罗了Android端+IOS端的毛病检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包罗平台里的账号,暗码,手机号,姓名都被信息泄漏,通过老客户的先容找到我们寻求安全防护上的技能支持,防止后期APP被攻击以及数据窜改泄漏等安全题目的发生。针对于客户发生的网站被黑客攻击以及用户资料泄漏的环境,我们立刻建立了移动端APP应急相应小组,关于APP渗出测试的内容以及怎样办理的题目我们做了汇总,通过这篇文章来分享给各人。
怎样查找APP毛病并渗出测试办理网站被黑客攻击

起首要相识客户的环境,知彼知己百战不殆,客户APP架构开辟是Web(php语言)+VUE框架,服务器接纳的是Linux centos体系,数据库与WEB APP端分离,通过内网举行传输,大部门金融以及假造币客户都是接纳此架构,有的是RDS数据库,也根本都是内网传输,杜绝与前端的毗连,防止数据被盗,但是假如前端服务器(APP)存在毛病导致被黑客攻击,那么攻击者很有大概使用该服务器的权限去长途毗连数据库端,导致数据泄漏,用户信息被偷取的大概。
怎样查找APP毛病并渗出测试办理网站被黑客攻击

然后对客户服务器里的APP代码,以及网站PHP源文件举行代码的安全审计,以及网站木马文件的检测与扫除,包罗网站毛病测试与发掘,我们的安全都是人工举行代码的安全审计与木马查抄,下载了客户代码到当地电脑里举行操纵,包罗了APP的网站访问日记,以及APP的Android端+IOS端文件也下载了一份得手机里。我们在检测到客户APP里的充值功能这里存在SQL注入毛病,由于自己网站选择的是thinkphp框架二次开辟的,步伐员在写功能的时间未对充值金额的数值举行安全判定,导致可以长途插入恶意的SQL注入代码到服务器后端举行操纵,SQL注入毛病可以查询数据库里的任何内容,也可以写入,更改,通过共同日记的查询,我们发现该黑客直接读取了APP背景的管理员账号暗码,客户利用的背景地点用的是二级域名,开头是admin.XXXXX.com,导致攻击者直接登录背景。我们在背景的日记也找到黑客的登录访问背景的日记,通过溯源追踪,黑客的IP是菲律宾的,还发现背景存在文件上传功能,该功能的代码我们安全技能对其做了具体的人工代码安全审计与毛病检测,发现可以上传恣意文件格式毛病,包罗可以上传PHP脚本木马。
怎样查找APP毛病并渗出测试办理网站被黑客攻击

攻击者进一步的上传了已预谋好的webshell文件,对APP里的网站数据库设置文件举行了检察,使用APP前端服务器的权限去毗连了别的一台数据库服务器,导致数据库里的内容全部被黑客打包导出,此次安全变乱的根源题目才得以明白,我们安全技能继承对该金融客户的APP网站代码举行审计,统共发现4处毛病,1,SQL注入毛病,2,背景文件上传毛病。3,XSS跨站毛病,4,越权检察别的用户的银行卡信息毛病。以及APP前端里共人工审计出6个网站木马后门文件,包罗了PHP大马,PHP一句话木马,PHP加密,PHP长途调用下载功能的代码,mysql数据库毗连代码,EVAL免杀马等等。
怎样查找APP毛病并渗出测试办理网站被黑客攻击

我们安全技能职员对SQL注入毛病举行了修复,对get,post,cookies方式提交的参数值举行了安全过滤与效验,限定恶意SQL注入代码的输入,对文件上传毛病举行修复,限定文件上传的格式,以及后缀名,并做了文件格式白名单机制。对XSS跨站代码做了转义,像常常用到的script 等等的攻击字符做了拦截与转义功能,当碰到以上恶意字符的时间主动转义与拦截,防止前端提交到背景中去。对越权毛病举行银行卡检察的毛病做了当前账户权限所属判定,不答应跨层级的检察恣意银行卡信息,只能检察所属账户下的银行卡内容。对检测出来的木马后门文件举行了隔离与逼迫删除,并对网站安全举行了防窜改摆设,以及文件夹安全摆设,服务器底层的安全设置,端口安全计谋,等等的一系列安全防护步伐。
至此客户APP渗出测试中发现的网站毛病都已被我们修复,并做了安全防护加固,用户信息泄漏的题目得以办理,题目既然发生了就得找到毛病根源,对网站日记举行溯源追踪,网站毛病举行安全测试,代码举行安全审计,全方面的入手才气找出题目地点,假如您的APP也被攻击存在毛病,不知道该怎样办理,修复毛病,可以找专业的网站安全公司来办理、也由衷的盼望我们此次的安全处置惩罚过的分享可以或许帮到更多的人,网络安全了,我们才气放心的去运营APP。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|山木智能_智赢天下,能聚烧友 ( 浙ICP备19019948号 )|网站地图

GMT+8, 2020-2-18 02:06 , Processed in 0.357170 second(s), 48 queries .

快速回复 返回顶部 返回列表