APP滲透測試目前包含了Android端+IOS端的漏洞檢測與安全測試，前段時間某金融客戶的APP被黑客惡意攻擊，導致APP里的用戶數據包括平臺里的賬號，密碼，手機號，姓名都被信息泄露，通過老客戶的介紹找到我們SINE安全公司尋求安全防護上的技術支持，防止后期APP被攻擊以及數據篡改泄露等安全問題的發生。針對于客戶發生的網站被黑客攻擊以及用戶資料泄露的情況，我們立即成立了SINE安全移動端APP應急響應小組，關于APP滲透測試的內容以及如何解決的問題我們做了匯總，通過這篇文章來分享給大家。

首先要了解客戶的情況，知彼知己百戰不殆，客戶APP架構開發是Web（php語言）+VUE框架，服務器采用的是Linux centos系統，數據庫與WEB APP端分離，通過內網進行傳輸，大部分金融以及虛擬幣客戶都是采用此架構，有的是RDS數據庫，也基本都是內網傳輸，杜絕與前端的連接，防止數據被盜，但是如果前端服務器（APP）存在漏洞導致被黑客攻擊，那么攻擊者很有可能利用該服務器的權限去遠程連接數據庫端，導致數據泄露，用戶信息被盜取的可能。

然后對客戶服務器里的APP代碼，以及網站PHP源文件進行代碼的安全審計，以及網站木馬文件的檢測與清除，包括網站漏洞測試與挖掘，我們SINE安全都是人工進行代碼的安全審計與木馬檢查，下載了客戶代碼到本地電腦里進行操作，包括了APP的網站訪問日志，以及APP的Android端+IOS端文件也下載了一份到手機里。我們在檢測到客戶APP里的充值功能這里存在SQL注入漏洞，因為本身網站選擇的是thinkphp框架二次開發的，程序員在寫功能的時候未對充值金額的數值進行安全判斷，導致可以遠程插入惡意的SQL注入代碼到服務器后端進行操作，SQL注入漏洞可以查詢數據庫里的任何內容，也可以寫入，更改，通過配合日志的查詢，我們發現該黑客直接讀取了APP后臺的管理員賬號密碼，客戶使用的后臺地址用的是二級域名，開頭是admin.XXXXX.com，導致攻擊者直接登錄后臺。我們在后臺的日志也找到黑客的登錄訪問后臺的日志，通過溯源追蹤，黑客的IP是菲律賓的，還發現后臺存在文件上傳功能，該功能的代碼我們SINE安全對其做了詳細的人工代碼安全審計與漏洞檢測，發現可以上傳任意文件格式漏洞，包括可以上傳PHP腳本木馬。

攻擊者進一步的上傳了已預謀好的webshell文件，對APP里的網站數據庫配置文件進行了查看，利用APP前端服務器的權限去連接了另外一臺數據庫服務器，導致數據庫里的內容全部被黑客打包導出，此次安全事件的根源問題才得以明了，我們SINE安全技術繼續對該金融客戶的APP網站代碼進行審計，總共發現4處漏洞，1，SQL注入漏洞，2，后臺文件上傳漏洞。3，XSS跨站漏洞,4，越權查看其它用戶的銀行卡信息漏洞。以及APP前端里共人工審計出6個網站木馬后門文件，包含了PHP大馬，PHP一句話木馬，PHP加密，PHP遠程調用下載功能的代碼，mysql數據庫連接代碼，EVAL免殺馬等等。

我們SINE安全對SQL注入漏洞進行了修復，對get,post,cookies方式提交的參數值進行了安全過濾與效驗，限制惡意SQL注入代碼的輸入，對文件上傳漏洞進行修復，限制文件上傳的格式，以及后綴名，并做了文件格式白名單機制。對XSS跨站代碼做了轉義，像經常用到的<>script 等等的攻擊字符做了攔截與轉義功能，當遇到以上惡意字符的時候自動轉義與攔截，防止前端提交到后臺中去。對越權漏洞進行銀行卡查看的漏洞做了當前賬戶權限所屬判斷，不允許跨層級的查看任意銀行卡信息，只能查看所屬賬戶下的銀行卡內容。對檢測出來的木馬后門文件進行了隔離與強制刪除，并對網站安全進行了防篡改部署，以及文件夾安全部署，服務器底層的安全設置，端口安全策略，等等的一系列安全防護措施。

至此客戶APP滲透測試中發現的網站漏洞都已被我們SINE安全修復，并做了安全防護加固，用戶信息泄露的問題得以解決，問題既然發生了就得找到漏洞根源，對網站日志進行溯源追蹤，網站漏洞進行安全測試，代碼進行安全審計，全方面的入手才能找出問題所在，如果您的APP也被攻擊存在漏洞，不知道該如何解決，修復漏洞，可以找專業的網站安全滲透測試公司來解決，國內SINESAFE，鷹盾安全，綠盟，啟明星辰，深信服都是比較專業的、也由衷的希望我們此次的安全處理過的分享能夠幫到更多的人，網絡安全了，我們才能放心的去運營APP。