当前位置:首页 >  科技 >  移动互联 >  正文

一文了解IOS APP渗透测试的过程与分析

 2019-12-26 11:38  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

IOS端的APP渗透测试在整个互联网上相关的安全文章较少,前几天有位客户的APP数据被篡改,导致用户被随意提现,任意的提币,转币给平台的运营造成了很大的经济损失,通过朋友介绍找到我们SINE安全公司寻求安全解决方案,防止APP继续被篡改与攻击,针对客户的这一情况我们立即成立安全应急响应小组,对客户的APP以及服务器进行了全面的安全渗透。

首先要了解客户的IOS APP应用使用的是什么架构,经过我们安全工程师的详细检查与代码的分析,采用的是网站语言开发,PHP+mysql数据库+VUE组合开发的,服务器系统是Linux centos版本。

我们搭建起渗透测试的环境,下载的客户的最新APP应用到手机当中,并开启了8098端口为代理端口,对APP的数据进行了抓包与截取,打开APP后竟然闪退了,通过抓包获取到客户的APP使用了代理检测机制,当手机使用代理进行访问的时候就会自动判断是否是使用的代理,如果是就返回错误值,并强制APP退出,断掉一切与APP的网络连接。那么对于我们SINE安全技术来说,这都是很简单的就可以绕过,通过反编译IPA包,代码分析追踪到APP代理检测的源代码,有一段代码是单独设置的,当值判断为1就可以直接绕过,我们直接HOOK该代码,绕过了代理检测机制。

接下来我们SINE安全工程师对客户APP的正常功能比如:用户注册,用户密码找回,登录,以及用户留言,用户头像上传,充币提币,二次密码等功能进行了全面的渗透测试服务,在用户留言这里发现可以写入恶意的XSS跨站代码到后端中去,当用户在APP端提交留言数据POST到后台数据,当后台管理员查看用户留言的时候,就会截取APP管理员的cookies值以及后台登录地址,攻击者利用该XSS漏洞获取到了后台的管理员权限,之前发生的会员数据被篡改等安全问题都是由这个漏洞导致的,客户说后台并没有记录到修改会员的一些操作日志,正常如果管理员在后台对会员进行操作设置的时候,都会有操作日志记录到后台中去,通过客户的这些反馈,我们继续对APP进行渗透测试,果然不出我们SINE安全所料,后台里有上传图片功能,我们POST截取数据包,对上传的文件类型进行修改为PHP后缀名,直接POST数据过去,直接绕过代码检测上传了PHP脚本文件到后台的图片目录。

我们对上传的网站木马后门也叫webshell,客户网站后台存在文件上传漏洞,可以上传任意格式的文件,我们又登录客户的服务器对nginx的日志进行分析处理,发现了攻击者的痕迹,在12月20号晚上,XSS漏洞获取后台权限并通过文件上传漏洞上传了webshell,利用webshell获取到了APP的数据库配置文件,通过webshell内置的mysql连接功能,直接对会员数据进行了修改,至此客户会员数据被篡改的问题得以圆满的解决,我们又对其他功能进行渗透测试发现,用户密码找回功能存在逻辑漏洞,可以绕过验证码直接修改任意会员账号的密码。

这次APP渗透测试总共发现三个漏洞,XSS跨站漏洞,文件上传漏洞,用户密码找回逻辑漏洞,这些漏洞在我们安全界来说属于高危漏洞,可以对APP,网站,服务器造成重大的影响,不可忽视,APP安全了,带来的也是用户的数据安全,只有用户安全了,才能带来利益上的共赢。如果您对渗透测试不懂的话,也可以找专业的网站安全公司,以及渗透测试公司来帮您检测一下。

作者: websafe    /    文章:103篇

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 精华之渗透测试之嗅探流量抓包剖析

    在浩瀚的网络中安全问题是最普遍的需求,很多想要对网站进行渗透测试服务的,来想要保障网站的安全性防止被入侵被攻击等问题,在此我们Sine安全整理了下在渗透安全测试中抓包分析以及嗅探主机服务类型,以及端口扫描等识别应用服务,来综合评估网站安全。

  • 网站安全认证登录渗透测试检测要点

    源于ssl模式下的认证可选性,可以删除签名方式标签绕过认证,如果SAML中缺少了expiration,并且断言ID不是唯一的,那么就可能被重放攻击影响,越来越多的网站安全问题日益出现,如果想要对网站或平台进行全面的安全检测以及渗透测试。

  • 网站渗透测试 日志溯源技术与密码授权机制分析

    在众多渗透测试中客户想要了解攻击溯源查找问题,我们Sine安全在日常网站安全检测过程中了解知道黑客是如何攻击和上传木马并进行篡改,以及如何查找日志分析攻击者是通过哪些脚本入口文件进行入侵的,那么本节由我们资深的渗透测试主管技术来为大家讲解。

  • 渗透测试服务 前期对客户网站APP的信息收集分享

    在对客户网站以及APP进行渗透测试服务前,很重要的前期工作就是对网站,APP的信息进行全面的收集,知彼知己,才能更好的去渗透,前段时间我们SINE安全公司收到某金融客户的委托,对其旗下的网站,以及APP进行安全渗透,整个前期的信息收集过程,我们将通过文章的形式分享给大家.

  • 网站渗透测试中的漏洞信息搜集介绍

    快到十二月中旬了,很多渗透测试中的客户想要知道如何搜集这些漏洞信息和利用方式的检测,再次我们Sine安全的工程师给大家普及下如何发现漏洞以及如何去获取这些有用的信息来防护自身的网站项目平台安全,把网站安全风险降到最低,使平台更加安全稳定的运行下去。

  • 这个直播不卖货!百度发力直播开启另一种可能

    疫情时期,让大家都开启了自己的“云上”生活。而直播模式可以说一下子成为人们最喜闻乐见的休闲娱乐方式,包括我在内也都开始了自己的直播大业。我播了几场效果还不错,现在也有不同的平台邀请我去直播,而我直播的动力完全是来自于沟通的欲望释放。

  • 分付,不是微信版“花呗”!

    3月26日消息,根据网上部分用户反馈,微信上出现了“分付”功能,这个传闻已久所谓的微信版花呗露出庐山面目。但准确来讲,“分付”更像“花呗分期”而非花呗本身。

    标签:
    微信
    花呗
  • 练习瑜伽从每日瑜伽21天入门精讲开始

    坚持长期练习瑜伽对人的影响是潜移默化的,告别圆肩驼背,告别骨盆前倾,形体渐趋近于完美无疑是最直观的体现。练习过程中,瑜伽还会刺激人体各项激素的分泌,随着练习时间的增长,人的自信与魅力也会随之上升一个新的高度。

  • OPPO打造海外主题设计大赛,推进海外市场内容生态建设

    历时两个月,备受关注的“2020OPPO海外主题设计大赛”已进入白热化。截至目前,此次大赛吸引了全球23个国家、141位设计师与设计爱好者,在短短1个月内收到了近200份优秀作品,堪称海外手机主题设计领域的一场盛宴

  • 要做内容社区的陌陌,会不会是另一个豆瓣?

    陌陌是什么?万千少男和大叔深夜荷尔蒙的催化剂;一个基于LBS的小众爱好社区;也可以是一个国内排名第9的直播平台。前不久陌陌新一季财报发布,2019年全年,陌陌公司净营收达到170.151亿元(约24.441亿美元),同比增长27%。

    标签:
    陌陌
  • 直播变局下百度移动新“野望”

    疫情之下,直播的价值被重新审视。尽管国内疫情逐步得到控制,公共场所逐渐开放,但宅家的日子还是比外出的日子更多。两个月过去,厨艺渐进的宅男宅女们,王者荣耀已经玩吐了,网上报道有人主动卸载了游戏;国产剧、韩剧、美剧也不知道要追什么了;剩下的,也只有看看“总是有新鲜内容”的直播了。

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯