您當前的位置 :南通在線 > 家居 >  內容正文
投稿

app滲透測試php架構接口安全檢測詳情

南通在線 2020-03-23 08:19:29 來源: 閱讀:-

某一客戶的網站,以及APP系統數據被篡改,金額被提現,導致損失慘重,漏洞無從下手,經過朋友介紹找到我們,我們隨即對客戶的網站服務器情況進行大體了解.建議客戶做滲透測試服務.模擬攻擊者的手法對網站存在的數據篡改漏洞進行檢測與挖掘,就此滲透測試服務的過程進行記錄與分享.

首先客戶網站和APP的開發語言都是使用的PHP架構開發,后端使用的thinkphp開源系統,對會員進行管理以及資料的統計,包括充值,提現,下單功能.服務器使用是linux系統.共有3個接口,分別是WEB前端,接口,后臺,都采用的是action的方法來調用,并初始化數據.我們看下代碼

不同入口傳入過來的值,并進一步的操作都不一樣,我們技術在get,post,cookies的請求方式中,發現一個規律,在查看代碼中發現都是使用的get()的方式來對傳入過來的值進行安全效驗與攔截.對一些特殊符號包括<> 都進行了安全轉義,不會直接輸入到后端中去.基本上的一些漏洞,XSS,SQL注入漏洞是不會很容易的找到.我們繼續對代碼進行分析與滲透測試,對漏洞多次的測試,終于找到一處存在SQL注入漏洞的代碼,存在于網站的會員頭像上傳功能.

我們抓取上傳的數據包,并進行修改,將惡意的SQL注入代碼寫入到數據包中,將頭像的圖片內容進行修改提交過去,發現服務器返回錯誤,原因是對圖片的內容進行了解析操作,并將上傳的路徑地址寫入到了數據庫,而這個寫入數據庫的圖片路徑地址,并沒有做詳細的變量安全過濾,導致SQL注入的發生,由此可見,攻擊者可以查詢數據庫里的管理員賬號密碼,并登陸到系統后臺進行提權.平臺的后臺目錄地址很容易遭到破解,后臺名字寫的竟然是houtai2019,很容易讓攻擊者猜解到,使用SQL注入漏洞獲取到的管理員賬號密碼.登陸后臺,上傳webshell,查到數據庫的賬戶密碼,進行連接,修改數據庫.

在對后臺的滲透測試發現,后臺也存在同樣的任意文件上傳漏洞,upload值并沒有對文件的格式,做安全效驗與過濾,導致可以構造惡意的圖片代碼,將save格式改為php,提交POST數據包過去,直接在網站的目錄下生成.php文件.對此我們將滲透測試過程中發現的漏洞都進行了修復.

可能有些人會問了,那該如何修復滲透測試中發現的網站漏洞?

首先對SQL注入漏洞,我們建議大家對圖片的路徑地址寫入到數據庫這里,進行安全過濾,對于一些特殊字符,SQL注入攻擊代碼像select,等數據庫查詢的字符進行限制,有程序員的話,可以對路徑進行預編譯,動態生成文件名,對ID等值只允許輸入數字等的安全部署,如果對程序代碼不是太懂的話,也可以找專業的網站安全公司來解決,剩下的就是任意文件上傳功能的漏洞修復,修復辦法是對上傳的文件名,以及文件格式做白名單限制,只允許上傳jpg.png,gif,等圖片文件,對上傳的目錄做安全設置,不允許PHP等腳本文件的執行,至此客戶網站數據被篡改的原因找到,經過滲透測試才發現漏洞的根源,不模擬攻擊者的手段.是永遠不會找到問題的原因的.也希望借此分享,能幫助到更多遇到網站被攻擊情況的客戶.

(正文已結束)

推薦閱讀:蘋果7p和蘋果8的區別

免責聲明及提醒:此文內容為本網所轉載企業宣傳資訊,該相關信息僅為宣傳及傳遞更多信息之目的,不代表本網站觀點,文章真實性請瀏覽者慎重核實!任何投資加盟均有風險,提醒廣大民眾投資需謹慎!

網站簡介 - 聯系我們 - 營銷服務 - 老版地圖 - 版權聲明 - 網站地圖
Copyright.2002-2019 南通在線 版權所有 本網拒絕一切非法行為 歡迎監督舉報 如有錯誤信息 歡迎糾正
国际十三张麻将 股票账户怎么开 山西十一选五今天开奖 炒股开户最低多少钱 安徽快3开奖结果 上海天天彩选4d 期货配资违法吗 pk10开奖官网 云南快乐十分预测 网上最靠谱的赚钱方法 福建快三走势图彩经网