网站被黑客攻击 如何利用渗透测试查找漏洞来防止攻击?



       APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的

APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机
号,姓名都被信息

泄露,通过老客户的介绍找到我们SINE安全公司寻求安全防护上
的技术支持,防止后期APP被攻

击以及数据篡改泄露等安全问题的发生。针对于客
户发生的网站被黑客攻击以及用户资料泄露的

情况,我们立即成立了SINE安全移动端APP应
急响应小组,关于APP渗透测试的内容以及如何解

决的问题我们做了汇总,通过这
篇文章来分享给大家。
 

 
首先要了解客户的情况,知彼知己百战不殆,客户APP架构开发是Web(php语言)+VUE框架

,服务器采用的是Linux centos系统,数据库与WEB APP端分离,通
过内网进行传输,大部分

金融以及虚拟币客户都是采用此架构,有的是RDS数据库
,也基本都是内网传输,杜绝与前端

的连接,防止数据被盗,但是如果前端服务器
(APP)存在漏洞导致被黑客攻击,那么攻击者

很有可能利用该服务器的权限去远
程连接数据库端,导致数据泄露,用户信息被盗取的可能。
 
 
然后对客户服务器里的APP代码,以及网站PHP源文件进行代码的安全审计,以及网站木马文件

的检测与清除,包括网站漏洞测试与挖掘,我们SINE安全都是人工进行
代码的安全审计与木马检

查,下载了客户代码到本地电脑里进行操作,包括了APP
的网站访问日志,以及APP的Android端

+IOS端文件也下载了一份到手机里。我们在
检测到客户APP里的充值功能这里存在SQL注入漏洞

,因为本身网站选择的是
thinkphp框架二次开发的,程序员在写功能的时候未对充值金额的数值

进行安全判
断,导致可以远程插入恶意的SQL注入代码到服务器后端进行操作,SQL注入漏洞可

以查询数据库里的任何内容,也可以写入,更改,通过配合日志的查询,我们发现该黑客直接读取

了APP后台的管理员账号密码,客户使用的
后台地址用的是二级域名,开头是admin.XXXXX.com,

导致攻击者直接登录后台。我们在后台的日志也
到黑客的登录访问后台的日志,通过溯源追踪,

黑客的IP是菲律宾的,还发现后台
存在文件上传功能,该功能的代码我们SINE安全对其做了详细的

人工代码安全审计
与漏洞检测,发现可以上传任意文件格式漏洞,包括可以上传PHP脚本木马。
 
 
攻击者进一步的上传了已预谋好的webshell文件,对APP里的网站数据库配置文件进行了查看,

利用APP前端服务器的权限去连接了另外一台数据库服务器,导致数
据库里的内容全部被黑客

打包导出,此次安全事件的根源问题才得以明了,我们
SINE安全技术继续对该金融客户的APP

网站代码进行审计,总共发现4处漏洞,1,
SQL注入漏洞,2,后台文件上传漏洞。3,XSS跨

站漏洞,4,越权查看其它用户的银
行卡信息漏洞。以及APP前端里共人工审计出6个网站木马后

门文件,包含了PHP大
马,PHP一句话木马,PHPbase64加密,PHP远程调用下载功能的代码

,mysql数据库
连接代码,EVAL免杀马等等。
 
 
我们SINE安全对SQL注入漏洞进行了修复,对get,post,cookies方式提交的参数值进行了安全过滤

与效验,限制恶意SQL注入代码的输入,对文件上传漏洞进行修复
,限制文件上传的格式,以及

后缀名,并做了文件格式白名单机制。对XSS跨站代
码做了转义,像经常用到的<>script 等等的

攻击字符做了拦截与转义功能,当遇
到以上恶意字符的时候自动转义与拦截,防止前端提交到后

台中去。对越权漏洞进
行银行卡查看的漏洞做了当前账户权限所属判断,不允许跨层级的查看任

意银行卡
信息,只能查看所属账户下的银行卡内容。对检测出来的木马后门文件进行了隔离与强

制删除,并对网站安全进行了防篡改部署,以及文件夹安全部署,服务器底层
的安全设置,端口

安全策略,等等的一系列安全防护措施。


 
 
至此客户APP渗透测试中发现的网站漏洞都已被我们SINE安全修复,并做了安全防护加固,用户

信息泄露的问题得以解决,问题既然发生了就得找到漏洞根源,对网
站日志进行溯源追踪,网站

漏洞进行安全测试,代码进行安全审计,全方面的入手
才能找出问题所在,如果您的APP也被攻

击存在漏洞,不知道该如何解决,修复漏
洞,可以找专业的渗透测试公司来解决,国内SINESAF

E,鹰盾安全,绿盟,启明星
辰,深信服都是比较专业的、也由衷的希望我们此次的安全处理过程

的分享能够帮
到更多的人,网络安全了,我们才能放心的去运营APP。
分享: