上海经济7月份开始陆续恢复,一些在上海做APP项目客户开始一系列营销推广、发展,在众多渠道推广下,运用者下载安装APP同时一些保障上漏洞频发,并被高级黑客给盯上,具体数据泄露攻击症状为:运用者刚注册非常好手机号、姓名、身份证号等信息就被泄露,不同会就会收到境外香港电话推广、网络诈骗,同时有些运用者数据被恶意篡改,导致APP运作平台损失较大,比方说一些运用者借贷额度被篡改成20w额度,APP项目方发现难题后立就找APP保障应急响应服务团队Sinesafe实行全面保障应急响应服务,要求尽快找出漏洞难题原因以及攻击实行溯源,
解到上述情况后,咱们SINE保障立就安排技术团队对APP项目方整体运维关联服务器以及数据库、API接口服务器、落地推广服务器、H5域名实行信息整理、搜集,并仔细询问最新发生这种数据被盗取泄露、被篡改时间,以及带来损失、管理员人员第三方保障排查、记录,经由此项目运维人员解,发现服务器都运用是Linux系统,项目App架构语言是用Java+Vue开发,API接口运用也是java开发,况且运维人员告知程序员,所有代码修改、调试都要在正式服务器里测试环境中实行,简单来理解话,就是说代码开发者员在运用项目中服务器,去调试、修改代码,经由咱们SINE保障工程师人工审计扫描发现,服务器开放8099,22,3306,21,80,443,8080等端口,看下8099端口是用于GItlab系统,此系统是程序员用于修改App代码、同步代码用,22端口是运维技术、开发者员登录服务器SSH端口用,3306是一些Mysql测试数据库、正式数据库用端口,21端口是程序员上传文件用Ftp服务端口,80、443是API接口、App项目所用到对外运用者访问服务,8080是程序员调试app接口用,
经由咱们前期信息搜集,有些细节一定无法拉下,一個小难题点就会导致发生漏洞,咱们尝试gitlab默认账户root项目共享网址,发现root共享项目中包含App源代码,咱们SINESAFE技术立就打包下载下来到咱们自己电脑,深入分析java代码里一些配置文件,发现存在一些阿里云osskey、密钥信息,咱们尝试利用阿里云oss key、密钥发现,该密钥权限极具大,可以直接获取到当前阿里云账户下所有服务器信息,以及所有阿里云服务管理权限,
现在此刻,这個漏洞危害性实在太大,可以操控阿里云账户下所有服务器,正因这個漏洞,才发生一开始咱们介绍客户被攻击症状,为何运用者刚注册信息,立马就被泄露,根源就是这個阿里云oss key、密钥泄露难题,导致黑客可以直接登录服务器去查看数据库,并实时从数据库中提取运用者手机号、姓名以及身份证号卖给第三方,第三方运用境外香港电话实行营销推广、网络诈骗,目前已形成一個产业链,针对这個漏洞咱们让客户确认下上述图片中服务器是否是客户账户下,经项目方运维技术确认,确是他们阿里云账户下所有服务器,由于运维技术大概对咱们SINESAFE技术实力有点不相信,在实行渗透测试保障服务一开始就对咱们说,晓得服务器IP是没用,你得真正拿到服务器管理员权限才行,经过客户授权允许后,在不影响正式业务运行下,咱们利用阿里云key、密钥执行SHELL命令,并直接进入服务器运用是root权限,发现数据库部署在172.18.17.165内网,经由history获取到运用者一些历史操作命令,其中涵盖Mysql数据库账户、密码,自身一开始时候,咱们就发现服务器对外开放3306端口,咱们获得这些数据库账户信息后,立就远程连接mysql查看到,确是App所有数据库内容,截图如下:
现在客户运维技术,看到咱们发这個截图后,立马改口说:服,真牛,不亏是专业网站保障服务商,至此整個溯源以及漏洞发生难题都已找到,后续客户直接签订永久APP渗透测试服务、保障加固服务,经由后续服务,咱们SINE保障技术又发现API接口存在一些越权漏洞,可越权查看运用者信息,可导致APP运用者信息被泄露、篡改,比方说运用者金额也可以直接经由这個接口漏洞直接修改成任意金额,APP中留言反馈功能还存在XSS跨站攻击,导致黑客可以获取到后台session值、cookie值,可直接登录后台,还有一些接口运用说明,也直接暴露在前端,由于开发者员没有保障意识,随手就把一些备份文件放到网站根目录下,经由一些爬虫工具,可获取到此备份文件,文件里包含很多代码信息,诸这般类漏洞实在是太多,倘若有遇到此类难题朋友记得要仔细排查每一個细节、功能,凡是关联数据库服务器或网站或APP一定都要仔细排查漏洞,因这都是黑客攻击入口,入口越多,黑客入侵成功几率也就越大,倘若实在搞大概,又摸不着头脑话可以找专业网站漏洞修复服务商来搞定数据泄露难题。
