離心泵網(wǎng)站被黑客攻擊如何利用滲透測試查找漏洞來防止攻擊？

APP浸透測驗(yàn)現(xiàn)在包含了Android端+IOS端的縫隙檢測與安全測驗(yàn)，前段時間某金融客戶的APP被黑客歹意進(jìn)犯，導(dǎo)致APP里的用戶數(shù)據(jù)包含渠道里的賬號，密碼，手機(jī)號，姓名都被信息走漏，經(jīng)過老客戶的介紹找到咱們SINE安全公司尋求安全防護(hù)上的技能支持，避免后期APP被進(jìn)犯以及數(shù)據(jù)篡改走漏等安全問題的發(fā)作。針對于客戶發(fā)作的網(wǎng)站被黑客進(jìn)犯以及用戶材料走漏的狀況，咱們立即成立了SINE安全移動端APP應(yīng)急呼應(yīng)小組，關(guān)于APP浸透測驗(yàn)的內(nèi)容以及怎么處理的問題咱們做了匯總，經(jīng)過這篇文章來共享給咱們。

首先要了解客戶的狀況，知彼知己百戰(zhàn)不殆，客戶APP架構(gòu)開發(fā)是Web（php語言）+VUE框架，服務(wù)器選用的是Linux centos系統(tǒng)，數(shù)據(jù)庫與WEB APP端別離，經(jīng)過內(nèi)網(wǎng)進(jìn)行傳輸，大部分離心泵以及虛擬幣客戶都是選用此架構(gòu)，有的是RDS數(shù)據(jù)庫，也根本都是內(nèi)網(wǎng)傳輸，根絕與前端的銜接，避免數(shù)據(jù)被盜，可是假如前端服務(wù)器（APP）存在縫隙導(dǎo)致被黑客進(jìn)犯，那么進(jìn)犯者很有可能使用該服務(wù)器的權(quán)限去長途銜接數(shù)據(jù)庫端，導(dǎo)致數(shù)據(jù)走漏，用戶信息被盜取的可能。

然后對客戶服務(wù)器里的APP代碼，以及網(wǎng)站PHP源文件進(jìn)行代碼的安全審計(jì)，以及網(wǎng)站木馬文件的檢測與清除，包含網(wǎng)站縫隙測驗(yàn)與發(fā)掘，咱們SINE安全都是人工進(jìn)行代碼的安全審計(jì)與木馬檢查，下載了客戶代碼到本地電腦里進(jìn)行操作，包含了APP的網(wǎng)站拜訪日志，以及APP的Android端+IOS端文件也下載了一份到手機(jī)里。咱們在檢測到客戶APP里的充值功用這里存在SQL注入縫隙，由于本身網(wǎng)站選擇的是thinkphp框架二次開發(fā)的，程序員在寫功用的時分未對充值金額的數(shù)值進(jìn)行安全判別，導(dǎo)致可以長途刺進(jìn)歹意的SQL注入代碼到服務(wù)器后端進(jìn)行操作，SQL注入縫隙可以查詢數(shù)據(jù)庫里的任何內(nèi)容，也可以寫入，更改，經(jīng)過配合日志的查詢，咱們發(fā)現(xiàn)該黑客直接讀取了APP后臺的管理員賬號密碼，客戶使用的后臺地址用的是二級域名，最初是admin.XXXXX.com，導(dǎo)致進(jìn)犯者直接登錄后臺。咱們在后臺的日志也找到黑客的登錄拜訪后臺的日志，經(jīng)過溯源追尋，黑客的IP是菲律賓的，還發(fā)現(xiàn)后臺存在文件上傳功用，該功用的代碼咱們SINE安全對其做了具體的人工代碼安全審計(jì)與縫隙檢測，發(fā)現(xiàn)可以上傳恣意文件格局縫隙，包含可以上傳PHP腳本木馬。

進(jìn)犯者進(jìn)一步的上傳了已預(yù)謀好的webshell文件，對APP里的網(wǎng)站數(shù)據(jù)庫配置文件進(jìn)行了查看，使用APP前端服務(wù)器的權(quán)限去銜接了另外一臺數(shù)據(jù)庫服務(wù)器，導(dǎo)致數(shù)據(jù)庫里的內(nèi)容全部被黑客打包導(dǎo)出，此次安全事情的本源問題才得以明晰，咱們SINE安全技能持續(xù)對該金融客戶的APP網(wǎng)站代碼進(jìn)行審計(jì)，一共發(fā)現(xiàn)4處縫隙，1，SQL注入縫隙，2，后臺文件上傳縫隙。3，XSS跨站縫隙,4，越權(quán)查看其它用戶的銀行卡信息縫隙。以及APP前端里共人工審計(jì)出6個網(wǎng)站木馬后門文件，包含了PHP大馬，PHP一句話木馬，PHP加密，PHP長途調(diào)用下載功用的代碼，mysql數(shù)據(jù)庫銜接代碼，EVAL免殺馬等等。

咱們SINE安全對SQL注入縫隙進(jìn)行了修正，對get,post,cookies方式提交的參數(shù)值進(jìn)行了安全過濾與效驗(yàn)，約束歹意SQL注入代碼的輸入，對文件上傳縫隙進(jìn)行修正，約束文件上傳的格局，以及后綴名，并做了文件格局白名單機(jī)制。對XSS跨站代碼做了轉(zhuǎn)義，像常常用到的<>script 等等的進(jìn)犯字符做了阻攔與轉(zhuǎn)義功用，當(dāng)遇到以上歹意字符的時分自動轉(zhuǎn)義與阻攔，避免前端提交到后臺中去。對越權(quán)縫隙進(jìn)行銀行卡查看的縫隙做了當(dāng)時賬戶權(quán)限所屬判別，不允許跨層級的查看恣意銀行卡信息，只能查看所屬賬戶下的銀行卡內(nèi)容。對檢測出來的木馬后門文件進(jìn)行了隔離與強(qiáng)制刪除，并對網(wǎng)站安全進(jìn)行了防篡改布置，以及文件夾安全布置，服務(wù)器底層的安全設(shè)置，端口安全策略，等等的一系列安全防護(hù)辦法。

至此客戶APP浸透測驗(yàn)中發(fā)現(xiàn)的網(wǎng)站縫隙都已被咱們SINE安全修正，并做了安全防護(hù)加固，用戶信息走漏的問題得以處理，問題既然發(fā)作了就得找到縫隙本源，對網(wǎng)站日志進(jìn)行溯源追尋，網(wǎng)站縫隙進(jìn)行安全測驗(yàn)，代碼進(jìn)行安全審計(jì)，全方面的入手才干找出問題所在，假如您的APP也被進(jìn)犯存在縫隙，不知道該怎么處理，修正縫隙，可以找專業(yè)的網(wǎng)站安全浸透測驗(yàn)公司來處理，國內(nèi)SINESAFE，鷹盾安全，綠盟，啟明星辰，深信服都是比較專業(yè)的、也由衷的希望咱們此次的安全處理過的共享可以幫到更多的人，網(wǎng)絡(luò)安全了，咱們才干放心的去運(yùn)營杭州網(wǎng)站建設(shè)。