首页 体育 教育 财经 社会 娱乐 军事 国内 科技 互联网 房产 国际 女人 汽车 游戏

APP渗透测试

2019-12-22

前段时刻咱们SINE安全收到客户的浸透测验服务托付,在这之前,客户网站遭到进犯,数据被篡改,要求咱们对网站进行全面的浸透测验,包含缝隙的检测与测验,逻辑缝隙.笔直水平越权缝隙,文件上传缝隙.等等服务项目,在进行安全测验之前,咱们对客户的网站大体的了解了一下,整个渠道网站,包含APP,安卓端,IOS端都选用的JSP+oracle数据库架构开发,前端运用VUE,服务器是linux centos体系.下面咱们将浸透测验进程里,对文件上传缝隙的检测与webshell的剖析进行记载,期望更多的人了解什么是浸透测验.

咱们直击缝隙本源,检查代码在uplpod.php文件里,能够看到有个lang变量给了language.php,并附加条件,设置的指定文件都存在,才能够将参数值传递曩昔,代码截图如下:

仔细看,咱们看到代码调用了save_file的调用方法,由此能够导致langup值能够假造,追寻溯源看到该值是对应的WEB前端用户的文件上传功用,在用户文件上传这儿,并没有做安全效验与安全白名单阻拦机制,导致能够重命名,直接将.jsp的脚本文件上传到网站的根目录下,包含APP也存在该缝隙.

咱们SINE安全技能来浸透测验复现一下该文件上传缝隙是怎么使用的,首要登录会员,并翻开个人资料页面,有个文件上传功用,里边只允许上传图片格局的文件,只允许上传JPG,PNG,GIF,等后缀名的文件,以一般的图片文件来上传,咱们抓取POST的上传数据包,将cont1的途径地址改为/beifen/1.jsp,并提交曩昔,回来数据为成功上传.途径,浏览器里翻开,发现咱们上传的JSP脚本文件履行了,也再一次的证明该缝隙是足以导致网站数据被篡改的,在这之前客户的网站必定被上传了webshell网站木马文件,随即咱们对客户的网站源代码进行全面的人工安全检测与剖析,对一句话木马特制eval,加密,包含文件上传的时刻点,进行检查,发现在网站的JS目录下存在indax.jsp,浏览器里翻开拜访,是一个JSP的脚本木马,能够对网站进行篡改,下载代码,新建文件,等网站管理员的操作,同理APP端也是存在相同的缝隙.调用的文件上传功用接口是相同.详细的webshell截图如下:

到这儿咱们仅仅浸透测验的一方面,主要是检测的文件上传功用是否存在缝隙,是否能够重命名,自定义上传途径以及文件格局绕过,关于浸透测验中发现的文件上传缝隙怎么修正,咱们SINE安全给我们一些修正主张与方法,首要对文件的上传格局进行约束,只允许白名单里的jpg,png,gif等格局的文件上传,对自定义的途径地址进行变量掩盖,不允许更改途径地址.对上传的目录做脚本的安全约束,去除JSP的脚本履行权限.

热门文章

随机推荐

推荐文章