APP滲透測(cè)試基本內(nèi)容與漏洞掃描介紹

天氣越來(lái)越?jīng)鏊?在對(duì)客戶網(wǎng)站代碼進(jìn)行滲透測(cè)試,漏洞測(cè)試的同時(shí)我們SINE安全滲透技術(shù)要對(duì)客戶的網(wǎng)站源代碼進(jìn)行全方位的安全檢測(cè)與審計(jì),只有真正的了解網(wǎng)站,才能更好的去滲透測(cè)試,發(fā)現(xiàn)網(wǎng)站存在的漏洞,盡可能的讓客戶的網(wǎng)站在上線之前,安全防護(hù)做到最極致.在后期的網(wǎng)站,平臺(tái)快速發(fā)展過(guò)程中,避免重大的漏洞導(dǎo)致的經(jīng)濟(jì)損失.

首先分享一下我們SINE安全前段時(shí)間對(duì)客戶的金融平臺(tái)的滲透測(cè)試過(guò)程,在審計(jì)代碼的時(shí)候發(fā)現(xiàn)了問(wèn)題,首先看到的是客戶網(wǎng)站采用的php語(yǔ)言+mysql數(shù)據(jù)庫(kù),前端還使用了VUE JS框架,在進(jìn)行滲透測(cè)試前,我們要檢查客戶網(wǎng)站的源代碼是否加密以及混淆,再一個(gè)查看php文件是否對(duì)應(yīng)的URL地址,是調(diào)用的,還是單獨(dú)的PHP功能頁(yè)面,還有入口文件和index.php首頁(yè)訪問(wèn)頁(yè)面的代碼是否一致化.接著要了解的是整個(gè)金融平臺(tái)網(wǎng)站的目錄,都包含哪些功能目錄,這次我們檢查到的,客戶網(wǎng)站有會(huì)員注冊(cè)功能,頭像上傳功能,銀行卡添加,充值,提現(xiàn),投資記錄,意見(jiàn)與反饋,個(gè)人資料修改等等功能.

我們SINE安全在進(jìn)行網(wǎng)站代碼的安全審計(jì),采用的審計(jì)方法是敏感函數(shù)以及傳輸值的追蹤與調(diào)試的辦法去查看代碼是否含有惡意代碼以及存在的漏洞隱患,是否可導(dǎo)致產(chǎn)生網(wǎng)站漏洞,包括一些邏輯漏洞,垂直,平行越權(quán)漏洞的產(chǎn)生.

在大體的代碼審計(jì)一遍后發(fā)現(xiàn)有些PHP文件存在SQL注入漏洞,沒(méi)有開(kāi)關(guān)閉合引號(hào),導(dǎo)致可以前端傳入惡意的參數(shù)值,并傳入到數(shù)據(jù)庫(kù)中進(jìn)行執(zhí)行,尤其新聞公告欄目里newxinxi.php?id=18,打開(kāi)后是直接調(diào)用數(shù)據(jù)庫(kù)里的新聞內(nèi)容,但是ID這個(gè)值沒(méi)有限制輸入中文以及特殊字符,導(dǎo)致直接執(zhí)行到后端的數(shù)據(jù)庫(kù)當(dāng)中去了,我們SINE安全技術(shù)隨即對(duì)客戶的網(wǎng)站漏洞進(jìn)行了修復(fù),限制ID=的值為數(shù)字,不允許輸入中文等特殊字符.在充值,以及提現(xiàn)功能里,我們發(fā)現(xiàn)客戶的網(wǎng)站代碼并沒(méi)有對(duì)數(shù)字的正負(fù)號(hào)進(jìn)行限制,導(dǎo)致可以輸入負(fù)號(hào)進(jìn)行充值,以及提現(xiàn),在實(shí)際的滲透測(cè)試中發(fā)現(xiàn)提現(xiàn)中輸入負(fù)數(shù),可以導(dǎo)致個(gè)人賬戶里的金額增加,后臺(tái)并沒(méi)有審核提現(xiàn)的功能.而是直接執(zhí)行了提現(xiàn)功能.

網(wǎng)站還存在遠(yuǎn)程執(zhí)行代碼寫入漏洞.可導(dǎo)致網(wǎng)站被上傳webshell,進(jìn)而導(dǎo)致網(wǎng)站的權(quán)限以及服務(wù)器的權(quán)限被拿下,用戶數(shù)據(jù)被篡改被泄露都是可以發(fā)生的.我們來(lái)看下這個(gè)代碼,如下圖:

我們來(lái)看下這個(gè)變量值是如何寫,如何賦值的,$page, $dir = dirname(__FILE__).‘/../backup/’這個(gè)backup就是自定義的備份目錄.dirname 就是輸出的文件名,當(dāng)我們用helper去定義這個(gè)類的時(shí)候,就會(huì)調(diào)用代碼里的IF語(yǔ)句,判斷條件是否滿足,如果滿足就可以導(dǎo)致遠(yuǎn)程插入惡意代碼,或構(gòu)造惡意的代碼去執(zhí)行,并輸出惡意文件到網(wǎng)站目錄中,像webshell都是可以的.以上是我們SINE安全在對(duì)客戶網(wǎng)站進(jìn)行滲透測(cè)試服務(wù)中發(fā)現(xiàn)的一部分漏洞,以及如何做的代碼安全審計(jì),漏洞測(cè)試過(guò)程的分享,,如果網(wǎng)站在運(yùn)行中出現(xiàn)了被攻擊,數(shù)據(jù)被篡改等攻擊問(wèn)題,可以找專業(yè)的網(wǎng)站安全公司來(lái)進(jìn)行滲透測(cè)試服務(wù),國(guó)內(nèi)SINESAFE,綠盟,啟明星辰,都是比較不錯(cuò)的,安全防患于未然,發(fā)現(xiàn)漏洞,修復(fù)漏洞,促使網(wǎng)站在上線之前安全防護(hù)做到極致,網(wǎng)站安全了,用戶才能用的安心,也希望更多的人了解滲透測(cè)試服務(wù).