APP安全测试该如何渗透检测APP存在的漏洞

时间：2020-03-13

IOS端的APP渗透测试在整个互联网上相关的安全文章较少，前几天有位客户的APP数据被篡改，导致用户被随意提现，任意的提币，转币给平台的运营造成了很大的经济损失，通过朋友介绍找到我们SINE安全公司寻求安全解决方案，防止APP继续被篡改与攻击，针对客户的这一情况我们立即成立安全应急响应小组，对客户的APP以及服务器进行了全面的安全渗透。

首先要了解客户的IOS APP应用使用的是什么架构，经过我们安全工程师的详细检查与代码的分析，采用的是网站语言开发，PHP+mysql数据库+VUE组合开发的，服务器系统是Linux centos版本。

我们搭建起渗透测试的环境，下载的客户的较新APP应用到手机当中，并开启了8098端口为代理端口，对APP的数据进行了抓包与截取，打开APP后竟然闪退了，通过抓包获取到客户的APP使用了代理检测机制，当手机使用代理进行访问的时候就会自动判断是否是使用的代理，如果是就返回错误值，并强制APP退出，断掉一切与APP的网络连接。那么对于我们SINE安全技术来说，这都是很简单的就可以绕过，通过反编译IPA包，代码分析追踪到APP代理检测的源代码，有一段代码是单独设置的，当值判断为1就可以直接绕过，我们直接HOOK该代码，绕过了代理检测机制。

接下来我们SINE安全工程师对客户APP的正常功能比如：用户注册，用户密码找回，登录，以及用户留言，用户头像上传，充币提币，二次密码等功能进行了全面的渗透测试服务，在用户留言这里发现可以写入恶意的XSS跨站代码到后端中去，当用户在APP端提交留言数据POST到后台数据，当后台管理员查看用户留言的时候，就会截取APP管理员的cookies值以及后台登录地址，攻击者利用该XSS漏洞获取到了后台的管理员权限，之前发生的会员数据被篡改等安全问题都是由这个漏洞导致的，客户说后台并没有记录到修改会员的一些操作日志，正常如果管理员在后台对会员进行操作设置的时候，都会有操作日志记录到后台中去，通过客户的这些反馈，我们继续对APP进行渗透测试，果然不出我们SINE安全所料，后台里有上传图片功能，我们POST截取数据包，对上传的文件类型进行修改为PHP后缀名，直接POST数据过去，直接绕过代码检测上传了PHP脚本文件到后台的图片目录。

我们对上传的网站木马后门也叫webshell,客户网站后台存在文件上传漏洞，可以上传任意格式的文件，我们又登录客户的服务器对nginx的日志进行分析处理，发现了攻击者的痕迹，在12月20号晚上，XSS漏洞获取后台权限并通过文件上传漏洞上传了webshell，利用webshell获取到了APP的数据库配置文件，通过webshell内置的mysql连接功能，直接对会员数据进行了修改，至此客户会员数据被篡改的问题得以圆满的解决，我们又对其他功能进行渗透测试发现，用户密码找回功能存在逻辑漏洞，可以绕过验证码直接修改任意会员账号的密码。

这次APP渗透测试总共发现三个漏洞，XSS跨站漏洞，文件上传漏洞，用户密码找回逻辑漏洞，这些漏洞在我们安全界来说属于高危漏洞，可以对APP，网站，服务器造成重大的影响，不可忽视，APP安全了，带来的也是用户的数据安全，只有用户安全了，才能带来利益上的共赢。如果您对渗透测试不懂的话，也可以找专业的网站安全公司，以及渗透测试公司来帮您检测一下。

13280888826

词条
词条说明
该怎么学web渗透？
先了解一下为什么需要渗透当我们谈论安全时，我们较常听到的词是漏洞。当我**次开始做安全员时，我经常对漏洞这个词感到困惑，我相信你们中的许多人和我的读者都会陷入困境。为了所有读者的利益，我将首先澄清漏洞与笔试的区别。那么，什么是漏洞呢？漏洞是用来识别系统中可能受到安全威胁的缺陷的术语。漏洞扫描漏洞扫描使用户能够找出应用程序中已知的弱点，并定义修复和提高应用程序整体安全性的方法。它基本上可以确定安全
网站安全防护需要关注那些问题
企业要做好网站安全建设，一般要注意这些网站安全防护要求：安全管理制度Web应用安全、中间件、数据库安全、主机安全和网络安全。首先，让我们了解一些与网站安全相关的术语概念，以便以后了解网站安全防护要求的具体内容。什么是安全漏洞？一般漏
服务器安全防护措施有哪些
以下是一些常见的服务器安全防护措施：定期更新和升级操作系统和软件，及时安装较新的补丁和安全更新，以修复已知的漏洞和安全问题。强化访问控制，包括使用强密码、多因素认证、限制登录尝试次数、限制远程访问等。只授权必要的人员访问服务器，并定期审查和更新访问权限。配置和管理防火墙，限制入站和出站流量，阻止未经授权的访问和攻击。可以使用网络安全设备，如入侵检测和防御系统，监控网络流量和异常活动。使用加密协议和
网站被攻击的原因有哪些
2020年3月中旬，我们SINE安全收到客户的安全求助，说是网站被攻击打不开了，随即对其进行了分析了导致网站被攻击的通常情况下因素分外部攻击和内部攻击两类，外部网站被攻击的因素，网站外部攻击通常情况下都是DDoS流量攻击。DDoS攻击的手法通常情况下都是通过大批量模拟正常用户的手法去GET或POST请求占据网站服务器的大量的网络带宽资源，以实现堵塞瘫痪无法打开网站的目的，它的攻击方式通常情况下都是