滲透測(cè)試公司對(duì)IOS端APP進(jìn)行的安全服務(wù)過(guò)程分享

時(shí)間：2020-01-05作者：青島四海通達(dá)電子科技有限公司瀏覽：243

IOS端的APP滲透測(cè)試在整個(gè)互聯(lián)網(wǎng)上相關(guān)的安全文章較少，前幾天有位客戶的APP數(shù)據(jù)被篡改，導(dǎo)致用戶被隨意提現(xiàn)，任意的提幣，轉(zhuǎn)幣給平臺(tái)的運(yùn)營(yíng)造成了很大的經(jīng)濟(jì)損失，通過(guò)朋友介紹找到我們SINE安全公司尋求安全解決方案，防止APP繼續(xù)被篡改與攻擊，針對(duì)客戶的這一情況我們立即成立安全應(yīng)急響應(yīng)小組，對(duì)客戶的APP以及服務(wù)器進(jìn)行了全面的安全滲透。

首先要了解客戶的IOS APP應(yīng)用使用的是什么架構(gòu)，經(jīng)過(guò)我們工程師的詳細(xì)檢查與代碼的分析，采用的是網(wǎng)站語(yǔ)言開(kāi)發(fā)，PHP+mysql數(shù)據(jù)庫(kù)+VUE組合開(kāi)發(fā)的，服務(wù)器系統(tǒng)是Linux centos版本。

我們搭建起滲透測(cè)試的環(huán)境，下載的客戶的較新APP應(yīng)用到手機(jī)當(dāng)中，并開(kāi)啟了8098端口為代理端口，對(duì)APP的數(shù)據(jù)進(jìn)行了抓包與截取，打開(kāi)APP后竟然閃退了，通過(guò)抓包獲取到客戶的APP使用了代理檢測(cè)機(jī)制，當(dāng)手機(jī)使用代理進(jìn)行訪問(wèn)的時(shí)候就會(huì)自動(dòng)判斷是否是使用的代理，如果是就返回錯(cuò)誤值，并強(qiáng)制APP退出，斷掉一切與APP的網(wǎng)絡(luò)連接。那么對(duì)于我們SINE安全技術(shù)來(lái)說(shuō)，這都是很簡(jiǎn)單的就可以繞過(guò)，通過(guò)反編譯IPA包，代碼分析追蹤到APP代理檢測(cè)的源代碼，有一段代碼是單獨(dú)設(shè)置的，當(dāng)值判斷為1就可以直接繞過(guò)，我們直接HOOK該代碼，繞過(guò)了代理檢測(cè)機(jī)制。

接下來(lái)我們SINE工程師對(duì)客戶APP的正常功能比如：用戶注冊(cè)，用戶密碼找回，登錄，以及用戶留言，用戶頭像上傳，充幣提幣，二次密碼等功能進(jìn)行了全面的滲透測(cè)試服務(wù)，在用戶留言這里發(fā)現(xiàn)可以寫入惡意的XSS跨站代碼到后端中去，當(dāng)用戶在APP端提交留言數(shù)據(jù)POST到后臺(tái)數(shù)據(jù)，當(dāng)后臺(tái)管理員查看用戶留言的時(shí)候，就會(huì)截取APP管理員的cookies值以及后臺(tái)登錄地址，攻擊者利用該XSS漏洞獲取到了后臺(tái)的管理員權(quán)限，之前發(fā)生的會(huì)員數(shù)據(jù)被篡改等安全問(wèn)題都是由這個(gè)漏洞導(dǎo)致的，客戶說(shuō)后臺(tái)并沒(méi)有記錄到修改會(huì)員的一些操作日志，正常如果管理員在后臺(tái)對(duì)會(huì)員進(jìn)行操作設(shè)置的時(shí)候，都會(huì)有操作日志記錄到后臺(tái)中去，通過(guò)客戶的這些反饋，我們繼續(xù)對(duì)APP進(jìn)行滲透測(cè)試，果然不出我們SINE安全所料，后臺(tái)里有上傳圖片功能，我們POST截取數(shù)據(jù)包，對(duì)上傳的文件類型進(jìn)行修改為PHP后綴名，直接POST數(shù)據(jù)過(guò)去，直接繞過(guò)代碼檢測(cè)上傳了PHP腳本文件到后臺(tái)的圖片目錄。

我們對(duì)上傳的網(wǎng)站木馬后門也叫webshell,客戶網(wǎng)站后臺(tái)存在文件上傳漏洞，可以上傳任意格式的文件，我們又登錄客戶的服務(wù)器對(duì)nginx的日志進(jìn)行分析處理，發(fā)現(xiàn)了攻擊者的痕跡，在12月20號(hào)晚上，XSS漏洞獲取后臺(tái)權(quán)限并通過(guò)文件上傳漏洞上傳了webshell，利用webshell獲取到了APP的數(shù)據(jù)庫(kù)配置文件，通過(guò)webshell內(nèi)置的mysql連接功能，直接對(duì)會(huì)員數(shù)據(jù)進(jìn)行了修改，至此客戶會(huì)員數(shù)據(jù)被篡改的問(wèn)題得以圓滿的解決，我們又對(duì)其他功能進(jìn)行滲透測(cè)試發(fā)現(xiàn)，用戶密碼找回功能存在邏輯漏洞，可以繞過(guò)驗(yàn)證碼直接修改任意會(huì)員賬號(hào)的密碼。

這次APP滲透測(cè)試總共發(fā)現(xiàn)三個(gè)漏洞，XSS跨站漏洞，文件上傳漏洞，用戶密碼找回邏輯漏洞，這些漏洞在我們安全界來(lái)說(shuō)屬于高危漏洞，可以對(duì)APP，網(wǎng)站，服務(wù)器造成重大的影響，不可忽視，APP安全了，帶來(lái)的也是用戶的數(shù)據(jù)安全，只有用戶安全了，才能帶來(lái)利益上的共贏。如果您對(duì)滲透測(cè)試不懂的話，也可以找專業(yè)的網(wǎng)站安全公司，以及滲透測(cè)試公司來(lái)幫您檢測(cè)一下。


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測(cè),滲透測(cè)試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測(cè)等, 歡迎致電 13280888826

• 詞條

  詞條說(shuō)明

• Web滲透流程

  一次偶然的機(jī)會(huì)，我有幸邀請(qǐng)了一家web來(lái)對(duì)自己的web系統(tǒng)進(jìn)行安全。四周后，我與幾位安全*進(jìn)行了多次溝通，完成了威脅建模、滲透和白盒，發(fā)現(xiàn)了28個(gè)漏洞。經(jīng)驗(yàn)是寶貴的，所以有必要總結(jié)一下?，F(xiàn)在，隨著企業(yè)信息化建設(shè)的發(fā)展，越來(lái)越多的重要數(shù)據(jù)將以電子媒體的形式存儲(chǔ)，不僅方便了企業(yè)辦公，而且造成了巨大的安全風(fēng)險(xiǎn)。近年來(lái)，隨著APT隨著攻擊的蔓延，越來(lái)越多的企業(yè)遭受了不可挽回的重大損失。面對(duì)目的明確、裝備

• 滲透測(cè)試公司 對(duì)上傳功能的安全檢測(cè)過(guò)程分享

  前段時(shí)間我們SINE安全收到客戶的滲透測(cè)試服務(wù)委托,在這之前,客戶網(wǎng)站受到攻擊,數(shù)據(jù)被篡改,要求我們對(duì)網(wǎng)站進(jìn)行全面的滲透測(cè)試,包括漏洞的檢測(cè)與測(cè)試,邏輯漏洞.垂直水平越權(quán)漏洞,文件上傳漏洞.等等服務(wù)項(xiàng)目,在進(jìn)行安全測(cè)試之前,我們對(duì)客戶的網(wǎng)站大體的了解了一下,整個(gè)平臺(tái)網(wǎng)站,包括APP,安卓端,IOS端都采用的JSP+oracle數(shù)據(jù)庫(kù)架構(gòu)開(kāi)發(fā),**使用VUE,服務(wù)器是linux centos系統(tǒng).下

• 谷歌被拒登導(dǎo)致網(wǎng)站無(wú)法推廣的處理解決過(guò)程 2020較新篇

  2020年google adwords上線了較新的安全算法，針對(duì)客戶網(wǎng)站存在惡意軟件以及垃圾軟件的情況，將會(huì)直接拒絕推廣，顯示已拒登：惡意軟件或垃圾軟件的提示。導(dǎo)致國(guó)內(nèi)大部分做外貿(mào)以及google推廣的客戶受到影響，很多客戶找到我們SINE安全公司尋求技術(shù)上的支持，幫忙解決問(wèn)題，促使goole廣告盡快上線。像這種問(wèn)題該如何解決處理呢？首先我們要判斷網(wǎng)站是不是被黑客攻擊，導(dǎo)致被植入了惡意的軟件以及垃

• 什么是網(wǎng)站漏洞掃描

  網(wǎng)站漏洞掃描是指通過(guò)自動(dòng)化工具或手動(dòng)方法，對(duì)一個(gè)網(wǎng)站進(jìn)行系統(tǒng)化的檢測(cè)和分析，以發(fā)現(xiàn)可能存在的安全漏洞和弱點(diǎn)。這些漏洞和弱點(diǎn)可能被黑客利用來(lái)入侵網(wǎng)站、竊取敏感信息、破壞網(wǎng)站功能或進(jìn)行其他惡意活動(dòng)。 網(wǎng)站漏洞掃描通常包括以下幾個(gè)方面的檢測(cè)：輸入驗(yàn)證：檢查網(wǎng)站是否對(duì)用戶輸入進(jìn)行了正確的驗(yàn)證和過(guò)濾，以防止惡意用戶提交惡意代碼或進(jìn)行其他攻擊。訪問(wèn)控制：檢查網(wǎng)站的訪問(wèn)控制機(jī)制，確保只有經(jīng)過(guò)授權(quán)的用戶能夠訪問(wèn)和