如何查找APP漏洞并渗透测试解决网站被黑客攻击

时间：2020-03-12

APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试，前段时间某金融客户的APP被黑客恶意攻击，导致APP里的用户数据包括平台里的账号，密码，手机号，姓名都被信息泄露，通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持，防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况，我们立即成立了SINE安全移动端APP应急响应小组，关于APP渗透测试的内容以及如何解决的问题我们做了汇总，通过这篇文章来分享给大家。

首先要了解客户的情况，知彼知己百战不殆，客户APP架构开发是Web（php语言）+VUE框架，服务器采用的是Linux centos系统，数据库与WEB APP端分离，通过内网进行传输，大部分金融以及虚拟币客户都是采用此架构，有的是RDS数据库，也基本都是内网传输，杜绝与前端的连接，防止数据被盗，但是如果前端服务器（APP）存在漏洞导致被黑客攻击，那么攻击者很有可能利用该服务器的权限去远程连接数据库端，导致数据泄露，用户信息被盗取的可能。

然后对客户服务器里的APP代码，以及网站PHP源文件进行代码的安全审计，以及网站木马文件的检测与清除，包括网站漏洞测试与挖掘，我们SINE安全都是人工进行代码的安全审计与木马检查，下载了客户代码到本地电脑里进行操作，包括了APP的网站访问日志，以及APP的Android端+IOS端文件也下载了一份到手机里。我们在检测到客户APP里的充值功能这里存在SQL注入漏洞，因为本身网站选择的是thinkphp框架二次开发的，程序员在写功能的时候未对充值金额的数值进行安全判断，导致可以远程插入恶意的SQL注入代码到服务器后端进行操作，SQL注入漏洞可以查询数据库里的任何内容，也可以写入，更改，通过配合日志的查询，我们发现该黑客直接读取了APP后台的管理员账号密码，客户使用的后台地址用的是二级域名，开头是，导致攻击者直接登录后台。我们在后台的日志也找到黑客的登录访问后台的日志，通过溯源追踪，黑客的IP是菲律宾的，还发现后台存在文件上传功能，该功能的代码我们SINE安全对其做了详细的人工代码安全审计与漏洞检测，发现可以上传任意文件格式漏洞，包括可以上传PHP脚本木马。

攻击者进一步的上传了已预谋好的webshell文件，对APP里的网站数据库配置文件进行了查看，利用APP前端服务器的权限去连接了另外一台数据库服务器，导致数据库里的内容全部被黑客打包导出，此次安全事件的根源问题才得以明了，我们SINE安全技术继续对该金融客户的APP网站代码进行审计，总共发现4处漏洞，1，SQL注入漏洞，2，后台文件上传漏洞。3，XSS跨站漏洞,4，越权查看其它用户的银行卡信息漏洞。以及APP前端里共人工审计出6个网站木马后门文件，包含了PHP大马，PHP一句话木马，PHP加密，PHP远程调用下载功能的代码，mysql数据库连接代码，EVAL免杀马等等。

我们SINE安全对SQL注入漏洞进行了修复，对get,post,cookies方式提交的参数值进行了安全过滤与效验，限制恶意SQL注入代码的输入，对文件上传漏洞进行修复，限制文件上传的格式，以及后缀名，并做了文件格式白名单机制。对XSS跨站代码做了转义，像经常用到的<>script 等等的攻击字符做了拦截与转义功能，当遇到以上恶意字符的时候自动转义与拦截，防止前端提交到后台中去。对越权漏洞进行银行卡查看的漏洞做了当前账户权限所属判断，不允许跨层级的查看任意银行卡信息，只能查看所属账户下的银行卡内容。对检测出来的木马后门文件进行了隔离与强制删除，并对网站安全进行了防篡改部署，以及文件夹安全部署，服务器底层的安全设置，端口安全策略，等等的一系列安全防护措施。

至此客户APP渗透测试中发现的网站漏洞都已被我们SINE安全修复，并做了安全防护加固，用户信息泄露的问题得以解决，问题既然发生了就得找到漏洞根源，对网站日志进行溯源追踪，网站漏洞进行安全测试，代码进行安全审计，全方面的入手才能找出问题所在，如果您的APP也被攻击存在漏洞，不知道该如何解决，修复漏洞，可以找专业的网站安全渗透测试公司来解决，国内SINESAFE，鹰盾安全，绿盟，启**辰，深信服都是比较专业的、也由衷的希望我们此次的安全处理过的分享能够帮到更多的人，网络安全了，我们才能放心的去运营APP。

13280888826

词条
词条说明
渗透测试与脆弱性评定区别
渗透测试与脆弱性评定区别渗透测试有别于脆弱性评定，并且在执行方法和方位上也和拥有非常大的区别。脆弱性评定是在已经知道系统软件上，对已经知道的弱点开展清查。渗透测试通常是“黑盒测试方法”，被测者模拟黑客，不仅要在未知系统软件中发现弱点，并且还需要认证一部分高风险的弱点，乃至还会继续发掘出一些不明的弱点。渗透测试与脆弱测试的区别安全系数漏洞发掘找到应用中具有的安全性漏洞。按应用检验对传统式安全性弱点的
网站安全渗透测试公司
3年，说长也长，说短也短，以前在A3年，从公司的自建房十多人，到走的那时候，上百人，自主创业不容易，一路上说不出的艰苦，也算记录了一个互联网公司的发展壮大，而且据说听闻发展壮大的也非常好，很有可能快挂牌上市了。以后跳到了一个招标方，通称B公司，到现在，又做了3年，可是与在A公司不同，身处招标方，不单单是是分析网络安全问题了，更重视的是维护公司的安全，促进安全建设。刚刚的那时候，公司五百多人，到现在
对甲方公司网站APP进行渗透测试前应该注意哪些方面
首先是渗透接口测试：在安全工程师角度看这就是1个十分好的知识要点积累的方式，不仅有利于你现在每次的网站渗透测试中不遗漏掉某一点，而且还能够在队伍里面开展分享有利于提高队伍里面队员的技术。我们SINE安全在针对甲方的网站渗透测试来说，在刚开始情况下和客户沟通许多有关事项是十分用得着的：*2个是常用工具：磨刀不误砍柴工，工欲善其事，有个好的常用工具影响大家在网站渗透测试时的工作效率。1个好的常用工具应
网站漏洞扫描器与安全测试工具的使用功能分析
关于网站漏洞扫描器的使用步骤，大家基本上都是按照以下方法去使用：输入网站地址->启动网站漏洞扫描引擎->检测漏洞的风险程度->输出网站安全报告,是否能得到这样的理论依据：同一款漏洞扫描工具，扫描出来的结果应该一样?但是，实际上，现实中是否常出现：对于同一款扫描器，A说实际效果非常不错，发现了真实可利用的SQL注入漏洞，B却说特别差，全是一些无足轻重的低危漏洞。甚至可能还有这样的两