api接口安全漏洞檢測測試過程

時(shí)間：2020-03-26作者：青島四海通達(dá)電子科技有限公司瀏覽：1858

某一客戶的網(wǎng)站,以及APP系統(tǒng)數(shù)據(jù)被篡改,金額被提現(xiàn),導(dǎo)致?lián)p失慘重,漏洞無從下手,經(jīng)過朋友介紹找到我們SINE安全公司,我們隨即對客戶的網(wǎng)站服務(wù)器情況進(jìn)行大體了解.建議客戶做滲透測試服務(wù).模擬攻擊者的手法對網(wǎng)站存在的數(shù)據(jù)篡改漏洞進(jìn)行檢測與挖掘,就此滲透測試服務(wù)的過程進(jìn)行記錄與分享.

首先客戶網(wǎng)站和APP的開發(fā)語言都是使用的PHP架構(gòu)開發(fā),后端使用的thinkphp開源系統(tǒng),對會(huì)員進(jìn)行管理以及資料的統(tǒng)計(jì),包括充值,提現(xiàn),下單功能.服務(wù)器使用是linux系統(tǒng).共有3個(gè)接口,分別是WEB**,接口,后臺,都采用的是action的方法來調(diào)用,并初始化數(shù)據(jù).我們看下代碼

不同入口傳入過來的值,并進(jìn)一步的操作都不一樣,我們SINE安全技術(shù)在get,post,cookies的請求方式中,發(fā)現(xiàn)一個(gè)規(guī)律,在查看代碼中發(fā)現(xiàn)都是使用的get()的方式來對傳入過來的值進(jìn)行安**驗(yàn)與攔截.對一些特殊符號包括<> 都進(jìn)行了安全轉(zhuǎn)義,不會(huì)直接輸入到后端中去.基本上的一些漏洞,XSS,SQL注入漏洞是不會(huì)很*的找到.我們繼續(xù)對代碼進(jìn)行分析與滲透測試,對漏洞多次的測試,終于找到一處存在SQL注入漏洞的代碼,存在于網(wǎng)站的會(huì)員頭像上傳功能.

我們抓取上傳的數(shù)據(jù)包,并進(jìn)行修改,將惡意的SQL注入代碼寫入到數(shù)據(jù)包中,將頭像的圖片內(nèi)容進(jìn)行修改提交過去,發(fā)現(xiàn)服務(wù)器返回錯(cuò)誤,原因是對圖片的內(nèi)容進(jìn)行了解析操作,并將上傳的路徑地址寫入到了數(shù)據(jù)庫,而這個(gè)寫入數(shù)據(jù)庫的圖片路徑地址,并沒有做詳細(xì)的變量安全過濾,導(dǎo)致SQL注入的發(fā)生,由此可見,攻擊者可以查詢數(shù)據(jù)庫里的管理員賬號密碼,并登陸到系統(tǒng)后臺進(jìn)行提權(quán).平臺的后臺目錄地址很*遭到破解,后臺名字寫的竟然是houtai2019,很*讓攻擊者猜解到,使用SQL注入漏洞獲取到的管理員賬號密碼.登陸后臺,上傳webshell,查到數(shù)據(jù)庫的賬戶密碼,進(jìn)行連接,修改數(shù)據(jù)庫.

在對后臺的滲透測試發(fā)現(xiàn),后臺也存在同樣的任意文件上傳漏洞,upload值并沒有對文件的格式,做安**驗(yàn)與過濾,導(dǎo)致可以構(gòu)造惡意的圖片代碼,將save格式改為php,提交POST數(shù)據(jù)**去,直接在網(wǎng)站的目錄下生成.php文件.對此我們SINE安全將滲透測試過程中發(fā)現(xiàn)的漏洞都進(jìn)行了修復(fù).

可能有些人會(huì)問了,那該如何修復(fù)滲透測試中發(fā)現(xiàn)的網(wǎng)站漏洞?

首先對SQL注入漏洞,我們SINE安全建議大家對圖片的路徑地址寫入到數(shù)據(jù)庫這里,進(jìn)行安全過濾,對于一些特殊字符,SQL注入攻擊代碼像select,等數(shù)據(jù)庫查詢的字符進(jìn)行限制,有程序員的話,可以對路徑進(jìn)行預(yù)編譯,動(dòng)態(tài)生成文件名,對ID等值只允許輸入數(shù)字等的安全部署,如果對程序代碼不是太懂的話,也可以找專業(yè)的網(wǎng)站安全公司來解決,國內(nèi)像SINESAFE,啟**辰,綠盟都是比較專業(yè)的,剩下的就是任意文件上傳功能的漏洞修復(fù),修復(fù)辦法是對上傳的文件名,以及文件格式做白名單限制,只允許上傳jpg.png,gif,等圖片文件,對上傳的目錄做安全設(shè)置,不允許PHP等腳本文件的執(zhí)行,至此客戶網(wǎng)站數(shù)據(jù)被篡改的原因找到,經(jīng)過滲透測試才發(fā)現(xiàn)漏洞的根源,不模擬攻擊者的手段.是永遠(yuǎn)不會(huì)找到問題的原因的.也希望借此分享,能幫助到更多遇到網(wǎng)站被攻擊情況的客戶.


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)站安全防護(hù) 什么是session安全

  網(wǎng)站安全防護(hù)中session會(huì)話安全是目前安全防護(hù)中,必須要進(jìn)行安全部署的,session關(guān)系著整個(gè)用戶登錄網(wǎng)站與網(wǎng)站進(jìn)行交互,數(shù)據(jù)傳輸都要進(jìn)行的會(huì)話操作,如果session被劫持,那么網(wǎng)站里的用戶賬戶就會(huì)被惡意登錄,網(wǎng)站管理員的登錄也被劫持,造成網(wǎng)站被劫持,被篡改,被跳轉(zhuǎn)等情況的發(fā)生,根據(jù)我們SINE安全在對客戶網(wǎng)站進(jìn)行安全防護(hù)部署的時(shí)候,發(fā)現(xiàn)大部分的客戶網(wǎng)站都沒有對session會(huì)話狀態(tài)進(jìn)行安

• 網(wǎng)站漏洞分析查找原因之攻防實(shí)戰(zhàn)

  漏洞分析和滲透測試是網(wǎng)站安全攻擊和防御演習(xí)攻擊者的常用方法。通過收集目標(biāo)系統(tǒng)的信息和綜合分析，使用適當(dāng)?shù)墓艄ぞ邔δ繕?biāo)系統(tǒng)的安全漏洞進(jìn)行相關(guān)分析，驗(yàn)證漏洞的使用方法和難度，并通過各種攻擊方法找到潛在漏洞的攻擊路徑?；谥贫ǖ墓舴桨?，利用漏洞和攻擊進(jìn)行實(shí)際作戰(zhàn)演習(xí)，嘗試各種技術(shù)手段訪問或操作系統(tǒng)、數(shù)據(jù)庫和中間文件，繞過系統(tǒng)安全保護(hù)，全面滲透目標(biāo)系統(tǒng)。通過滲透等方式獲得相關(guān)關(guān)系。統(tǒng)一控制權(quán)限后，為進(jìn)

• 售后服務(wù)

  ?SINE安全緊跟互聯(lián)網(wǎng)技術(shù)的發(fā)展潮流，以安全科技為**、創(chuàng)新為導(dǎo)向，基于多年的網(wǎng)站安全、服務(wù)器安全維護(hù)經(jīng)驗(yàn)，擁有多位技術(shù)精湛、專業(yè)的網(wǎng)絡(luò)安全工程師，從業(yè)互聯(lián)網(wǎng)安全行業(yè)10年，熟悉各項(xiàng)操作系統(tǒng)， Windows Server2003、Server2008 Linux系統(tǒng)、Centos、Debian、Ubuntu，打造了較年輕、較高效、較專業(yè)的服務(wù)器安全服務(wù)團(tuán)隊(duì)，竭盡全力為您提供及時(shí)、高效

• 支付平臺網(wǎng)站被黑客攻擊后的安全防護(hù)與漏洞修復(fù)辦法分享

  2020春節(jié)即將來臨,收到新聚合支付平臺網(wǎng)站客戶的求助電話給我們Sinesafe,反映支付訂單狀態(tài)被修改由原先未支付修改為已支付,導(dǎo)致商戶那邊直接發(fā)貨給此訂單會(huì)員了,商戶和平臺的損失較大，很多碼商都不敢用此支付平臺了，為了防止聚合支付系統(tǒng)繼續(xù)被攻擊，我們SINE安全大體情況了解后，立即安排從業(yè)十年的安全工程師，成立聚合、通道支付平臺安全應(yīng)急響應(yīng)小組。分析并了解支付過程我們Sinesafe對整個(gè)*三