酷站(www.ku0.com)-致力于为互联网从业者提供动力!

热门关键词:  企业  as  baidu  c4rp3nt3r  美女
酷站

【云小站】新老客都返现+现金红包+瓜分60万奖池
酷站

资源

旗下栏目: seo 经验 资源 策划

APP被黑客攻击导致数据篡改泄露后 快速渗透测试漏洞与修复解决

来源:A5创业网 作者:秩名 人气: 发布时间:2020-02-05
摘要:APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持,防止后期APP

APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持,防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况,我们立即成立了SINE安全移动端APP应急响应小组,关于APP渗透测试的内容以及如何解决的问题我们做了汇总,通过这篇文章来分享给大家。

首先要了解客户的情况,知彼知己百战不殆,客户APP架构开发是Web(php语言)+VUE框架,服务器采用的是Linux centos系统,数据库与WEB APP端分离,通过内网进行传输,大部分金融以及虚拟币客户都是采用此架构,有的是RDS数据库,也基本都是内网传输,杜绝与前端的连接,防止数据被盗,但是如果前端服务器(APP)存在漏洞导致被黑客攻击,那么攻击者很有可能利用该服务器的权限去远程连接数据库端,导致数据泄露,用户信息被盗取的可能。

然后对客户服务器里的APP代码,以及网站PHP源文件进行代码的安全审计,以及网站木马文件的检测与清除,包括网站漏洞测试与挖掘,我们SINE安全都是人工进行代码的安全审计与木马检查,下载了客户代码到本地电脑里进行操作,包括了APP的网站访问日志,以及APP的Android端+IOS端文件也下载了一份到手机里。我们在检测到客户APP里的充值功能这里存在SQL注入漏洞,因为本身网站选择的是thinkphp框架二次开发的,程序员在写功能的时候未对充值金额的数值进行安全判断,导致可以远程插入恶意的SQL注入代码到服务器后端进行操作,SQL注入漏洞可以查询数据库里的任何内容,也可以写入,更改,通过配合日志的查询,我们发现该黑客直接读取了APP后台的管理员账号密码,客户使用的后台地址用的是二级域名,开头是admin.XXXXX.com,导致攻击者直接登录后台。我们在后台的日志也找到黑客的登录访问后台的日志,通过溯源追踪,黑客的IP是菲律宾的,还发现后台存在文件上传功能,该功能的代码我们SINE安全对其做了详细的人工代码安全审计与漏洞检测,发现可以上传任意文件格式漏洞,包括可以上传PHP脚本木马。

攻击者进一步的上传了已预谋好的webshell文件,对APP里的网站数据库配置文件进行了查看,利用APP前端服务器的权限去连接了另外一台数据库服务器,导致数据库里的内容全部被黑客打包导出,此次安全事件的根源问题才得以明了,我们SINE安全技术继续对该金融客户的APP网站代码进行审计,总共发现4处漏洞,1,SQL注入漏洞,2,后台文件上传漏洞。3,XSS跨站漏洞,4,越权查看其它用户的银行卡信息漏洞。以及APP前端里共人工审计出6个网站木马后门文件,包含了PHP大马,PHP一句话木马,PHP加密,PHP远程调用下载功能的代码,mysql数据库连接代码,EVAL免杀马等等。

我们SINE安全对SQL注入漏洞进行了修复,对get,post,cookies方式提交的参数值进行了安全过滤与效验,限制恶意SQL注入代码的输入,对文件上传漏洞进行修复,限制文件上传的格式,以及后缀名,并做了文件格式白名单机制。对XSS跨站代码做了转义,像经常用到的<>script 等等的攻击字符做了拦截与转义功能,当遇到以上恶意字符的时候自动转义与拦截,防止前端提交到后台中去。对越权漏洞进行银行卡查看的漏洞做了当前账户权限所属判断,不允许跨层级的查看任意银行卡信息,只能查看所属账户下的银行卡内容。对检测出来的木马后门文件进行了隔离与强制删除,并对网站安全进行了防篡改部署,以及文件夹安全部署,服务器底层的安全设置,端口安全策略,等等的一系列安全防护措施。

至此客户APP渗透测试中发现的网站漏洞都已被我们SINE安全修复,并做了安全防护加固,用户信息泄露的问题得以解决,问题既然发生了就得找到漏洞根源,对网站日志进行溯源追踪,网站漏洞进行安全测试,代码进行安全审计,全方面的入手才能找出问题所在,如果您的APP也被攻击存在漏洞,不知道该如何解决,修复漏洞,可以找专业的网站安全渗透测试公司来解决,国内SINESAFE,鹰盾安全,绿盟,启明星辰,深信服都是比较专业的、也由衷的希望我们此次的安全处理过的分享能够帮到更多的人,网络安全了,我们才能放心的去运营APP。

版权声明:本文内容来源于互联网或用户自行发布贡献,该文观点仅代表原作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 959677720#qq.cn(#换@) 举报,一经查实,本站将立刻删除。

您可能感兴趣的文章:

原文链接:https://www.admin5.com/article/20200204/942795.shtml

相关文章

  • 网站建设前需要搞清楚的几个问题!

    网站建设前需要搞清楚的几个问题!

    对于很多不了解网站的企业而言,建站其实是很简单的,会找一家合适的建站公司,然后将一切事宜都交由其处理,这样做虽然是非常省事,但是企业不去参与其中的建设,那么对网站就不会有了解,后期更多的事项都不能够把控,所以这样的方式不......
    02-15
  • APP被黑客攻击导致数据篡改泄露后 快速渗透测试漏洞与修复解决

    APP被黑客攻击导致数据篡改泄露后 快速渗透测试漏洞与修复解决

    APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技......
    02-05
  • 这样采集内容 连续20天持续收录 简直不要太聪明

    这样采集内容 连续20天持续收录 简直不要太聪明

    都说网站现在越来越难做,首先没有优质的内容,就是一个让人绝望的问题,不采集吧,活不了,采集吧,死的快。前段时间在A5做了SEO诊断,贺老师给我们编辑做了一堂SEO的内容采集和文章发布培训,今天借助贺老师的公众号,把其中的心得分享......
    01-20
  • 搜索引擎各大站长平台汇总

    搜索引擎各大站长平台汇总

    百度搜索占比67.09%,神马搜索占比6.84%,搜狗搜索占比18.75%,其他搜索占比2.08%,谷歌搜索占比2.57%,必应搜索占比2.6% 站长平台是搜索引擎官方提供的的辅助网站优化管理的官方工具,也是各大搜索引擎针对网站推出的的一些优化方向和算......
    01-17
  • 2019年百度的变与不变

    2019年百度的变与不变

    在SEO领域呆久了的站长,对搜索引擎的一举一动都会变得尤为敏感,笔者也不例外。 一、打击虚假、诈骗、色情、菠菜、诈骗信息 百度在搜索算法方面,今年2月份先是发布了打击虚假诈骗色情赌博的违规信息公告,然而并没有什么卵用,随后笔者......
    01-07
  • 搜索引擎是如何判断网站权重的?

    搜索引擎是如何判断网站权重的?

    一.网站PR PR值是搜索引擎对网站重要程度的一个判断结果,是网站权重蚊帐低的直观结果。 二.网站收录 收录是搜索引擎对网站认可的一个小指标,搜索量越高,也在一定程度上说明了搜索引擎对网站的认可,同时如果保证原创和高质量的内容,......
    01-06
  • 网站推广中如何提高百度权重

    网站推广中如何提高百度权重

    大家都知道网站的权重是比较重要的,而百度权重同样重要,它会影响关键词在百度搜索引擎的搜索结果的排名情况。因此,要想做好网站推广,一定要想办法提高百度权重。接下来思企小编将为大家分享一些提高百度权重的技巧。 1、选定合适的关......
    01-06
  • 百度真实权重我们该如何来判断

    百度真实权重我们该如何来判断

    不同的站长工具显示的百度权重也不一样,到底百度权重是多少呢,哪个会更加准确点呢?相信很多人都会这么问。鼎优科技在此就自己的见解说明一下,首先百度官方并没有认可百度权重的具体数值的相关说法,所以对于站长工具显示的数值,我们......
    01-06
  • 企业SEO的六大优势你了解吗?

    企业SEO的六大优势你了解吗?

    现在很多企业都着手于做 SEO ,因为SEO是获取精准流量比较稳定且长期发展最好的方式之一,同时也能提升自身企业的品牌形象,因为SEO本身就是基于用户体验优化而做的,因此企业做好SEO后,不仅能提升网站流量的转化率,还能促进互联网销售......
    11-12
  • 熊掌号:博客优化的SEO技巧有哪些?

    熊掌号:博客优化的SEO技巧有哪些?

    随着新媒体平台的发展,基于互联网的营销推广变得多样化,虽然,博客是传统信息传播的媒介,但时至今日,特别是熊掌号上线以来,仍然发挥着重要的作用。 那么,熊掌号:博客优化的SEO技巧有哪些? 1、合适的CMS系统 所谓工欲善其事,必先......
    09-14

最新更新