APP被攻击导致数据篡改泄露 怎样渗透测试漏洞与修复处置

目前 APP渗透测试已经包含安卓+IOS两种版本的漏洞检测与安全性测试，前段时间某金融客户的APP被黑客恶意攻击，导致APP里的用户数据包括平台里的账号，密码，手机号，姓名都被信息泄露，通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持，防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况，我们立即成立了SINE安全移动端APP应急响应小组，关于APP渗透测试的内容以及如何解决的问题我们做了汇总，通过这篇文章来系统的分享给大家。

攻击者进一步的上传了已预谋好的webshell文件，对APP里的网站数据库配置文件进行了查看，利用APP前端服务器的权限去连接了另外一台数据库服务器，导致数据库里的内容全部被黑客打包导出，此次安全事件的根源问题才得以明了，我们SINE安全技术继续对该金融客户的APP网站代码进行审计，总共发现4处漏洞，1，SQL注入漏洞，2，后台文件上传漏洞。3，XSS跨站漏洞,4，越权查看其它用户的银行卡信息漏洞。以及APP前端里共人工审计出6个网站木马后门文件，包含了PHP大木马，PHP一句话木马，PHP加密，PHP远程调用下载功能的代码，mysql数据库连接代码，EVAL免杀马等等。

我们SINE安全对SQL注入漏洞进行了修复，对get,post,cookies方式提交的参数值进行了安全过滤与校验，限制恶意SQL注入代码的输入，对文件上传漏洞进行修复，限制文件上传的格式，以及后缀名，并做了文件格式白名单机制。

对XSS跨站代码做了转义，像经常用到的<>script 等等的攻击字符做了拦截与转义功能，当遇到以上恶意字符的时候自动转义与拦截，防止前端提交到后台中去。同时也支持自定义字符串的转换，可以根据需要进行修改。这样就大大提高了系统的安全性。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!