APP被黑客攻击导致数据篡改泄露 如何渗透测试漏洞与修复处理

APP渗透测试目前已包含 Android端+ IOS端的漏洞及安全性测试，前段时间某金融客户的APP被黑客恶意攻击，导致APP里的用户数据包括平台里的账号，密码，手机号，姓名都被信息泄露，通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持，防止后期APP被攻击以及数据篡改泄露等安全问题的发生。

然后对客户服务器里的APP代码，以及网站PHP源文件进行代码的安全审计，以及网站木马文件的检测与清除，包括网站漏洞测试与挖掘，我们SINE安全都是人工进行代码的安全审计与木马检查，下载了客户代码到本地电脑里进行操作，包括了APP的网站访问日志，以及APP的Android端+IOS端文件也下载了一份到手机里。

我们在检测到客户APP里的充值功能，这里存在SQL注入漏洞，因为本身网站选择的是thinkphp框架二次开发的，程序员在编写功能的时候未对充值金额的数值进行安全判断，导致可以远程插入恶意的SQL注入代码到服务器后端进行操作，SQL注入漏洞可以查询数据库里的任何内容，也可以写入，更改，通过配合日志的查询，我们发现该黑客直接读取了APP后台的管理员账号密码，客户使用的后台地址使用的是二级域名，开头是admin.XXXXX.com，导致攻击者直接登录后台。我们在后台的日志也找到黑客的登录访问后台的日志，通过溯源追踪，黑客的IP是菲律宾的，还发现后台存在文件上传功能，该功能的代码我们SINE安全对其做了详细的人工代码安全审计与漏洞检测，发现可以上传任意文件格式漏洞，其中包括可以上传源代码的PHP脚本木马。

我们SINE安全对SQL注入漏洞进行了修复，对get,post,cookies方式提交的参数值进行了安全过滤与效验，限制恶意SQL注入代码的输入，对文件上传漏洞进行修复，限制文件上传的格式，以及后缀名，并做了文件格式白名单机制。对XSS跨站代码做了转义，像经常用到的<>script 等等的攻击字符做了拦截与转义功能，当遇到以上恶意字符的时候自动转义与拦截，防止前端提交到后台中去。同时也支持自定义字符串的转义，可以根据需要进行修改。这样就大大提高了系统的安全性。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!