首先要理解客户的情形,知彼心腹百战不殆,客户APP架构开拓是Web(php措辞)+VUE框架,做事器采取的是Linux centos系统,数据库与WEB APP端分离,通过内网进行传输,大部分金融以及虚拟币客户都是采取此架构,有的是RDS数据库,也基本都是内网传输,杜绝与前真个连接,防止数据被盗,但是如果前端做事器(APP)存在漏洞导致被黑客攻击,那么攻击者很有可能利用该做事器的权限去远程连接数据库端,导致数据透露,用户信息被盗取的可能。
然后对客户做事器里的APP代码,以及网站PHP源文件进行代码的安全审计,以及网站木马文件的检测与打消,包括网站漏洞测试与挖掘,我们的安全都是人工进行代码的安全审计与木马检讨,下载了客户代码到本地电脑里进行操作,包括了APP的网站访问日志,以及APP的Android端+IOS端文件也下载了一份得手机里。我们在检测到客户APP里的充值功能这里存在SQL注入漏洞,由于本身网站选择的是thinkphp框架二次开拓的,程序员在写功能的时候未对充值金额的数值进行安全判断,导致可以远程插入恶意的SQL注入代码到做事器后端进行操作,SQL注入漏洞可以查询数据库里的任何内容,也可以写入,变动,通过合营日志的查询,我们创造该黑客直接读取了APP后台的管理员账号密码,客户利用的后台地址用的是二级域名,开头是admin.XXXXX.com,导致攻击者直接登录后台。我们在后台的日志也找到黑客的登录访问后台的日志,通过溯源追踪,黑客的IP是菲律宾的,还创造后台存在文件上传功能,该功能的代码我们安全技能对其做了详细的人工代码安全审计与漏洞检测,创造可以上传任意文件格式漏洞,包括可以上传PHP脚本木马。
攻击者进一步的上传了已预谋好的webshell文件,对APP里的网站数据库配置文件进行了查看,利用APP前端做事器的权限去连接了其余一台数据库做事器,导致数据库里的内容全部被黑客打包导出,这次安全事宜的根源问题才得以明了,我们安全技能连续对该金融客户的APP网站代码进行审计,统共创造4处漏洞,1,SQL注入漏洞,2,后台文件上传漏洞。3,XSS跨站漏洞,4,越权查看其它用户的银行卡信息漏洞。以及APP前端里共人工审计出6个网站木马后门文件,包含了PHP大马,PHP一句话木马,PHP加密,PHP远程调用下载功能的代码,mysql数据库连接代码,EVAL免杀马等等。
我们安全技能职员对SQL注入漏洞进行了修复,对get,post,cookies办法提交的参数值进行了安全过滤与效验,限定恶意SQL注入代码的输入,对文件上传漏洞进行修复,限定文件上传的格式,以及后缀名,并做了文件格式白名单机制。对XSS跨站代码做了转义,像常常用到的<>script 等等的攻击字符做了拦截与转义功能,当碰着以上恶意字符的时候自动转义与拦截,防止前端提交到后台中去。对越权漏洞进行银行卡查看的漏洞做了当前账户权限所属判断,不许可跨层级的查看任意银行卡信息,只能查看所属账户下的银行卡内容。对检测出来的木马后门文件进行了隔离与逼迫删除,并对网站安全进行了防修改支配,以及文件夹安全支配,做事器底层的安全设置,端口安全策略,等等的一系列安全防护方法。
至此客户APP渗透测试中创造的网站漏洞都已被我们修复,并做了安全防护加固,用户信息透露的问题得以办理,问题既然发生了就得找到漏洞根源,对网站日志进行溯源追踪,网站漏洞进行安全测试,代码进行安全审计,全方面的入手才能找出问题所在,如果您的APP也被攻击存在漏洞,不知道该如何办理,修复漏洞,可以找专业的网站安全公司来办理、也由衷的希望我们这次的安全处理过的分享能够帮到更多的人,网络安全了,我们才能放心的去运营APP。
