APP数据被泄露接到境外电话 该怎么查服务器漏洞

简介: 上海经济7月份开始陆续恢复,一些在上海做APP项目的客户开始了一系列的营销推广和发展,在众多渠道推广下,用户下载安装APP的同时,一些安全上的漏洞频发,并被高级黑客给盯上,具体的数据泄露攻击的症状为:用户刚注册好的用户信息就被泄露,不一会就会收到电话推广营销,并且有些用户的数据被恶意篡改,导致APP运营平台损失较大,比如一些用户借贷额度被篡改成20w的额度,APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务,要求尽快找出漏洞问题的原因以及攻击进行溯源。

上海经济7月份开始陆续恢复,一些在上海做APP项目的客户开始了一系列的营销推广和发展,在众多渠道推广下,用户下载安装APP的同时,一些安全上的漏洞频发,并被高级黑客给盯上,具体的数据泄露攻击的症状为:用户刚注册好的用户信息就被泄露,不一会就会收到电话推广营销,并且有些用户的数据被恶意篡改,导致APP运营平台损失较大,比如一些用户借贷额度被篡改成20w的额度,APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务,要求尽快找出漏洞问题的原因以及攻击进行溯源。

了解到上述情况后,我们SINE安全立即安排了技术团队对APP项目方的整体运维关联的服务器以及数据库、API接口服务器和落地推广服务器、H5域名进行了信息整理和搜集,并仔细询问了最早发生这种数据被盗取泄露和被篡改的时间,以及带来的损失和管理员人员的第三方安全排查和记录,通过此项目的运维人员的了解,发现服务器都使用的是Linux系统,项目App的架构语言是用Java+Vue开发的,API接口使用的也是java开发的,而且运维人员告知程序员,所有的代码修改和调试都要在正式服务器里的测试环境中进行,简单来理解的话,就是说代码开发人员在使用项目中的服务器,去调试和修改代码,通过我们工程师人工审计扫描发现,服务器开放了8099,22,3306,21,80,443,8080等端口,看了下8099端口是用于GItlab系统,此系统是程序员用于修改App代码和同步代码用的,22端口是运维技术和开发人员登录服务器的SSH端口用的,3306是一些Mysql测试数据库和正式数据库用的端口,21端口是程序员上传文件用的Ftp服务端口,80和443是API接口和App项目所用到的对外用户访问的服务,8080是程序员调试app接口用的。

通过我们的前期信息搜集,有些细节一定不能拉下,一个小的问题点就会导致出现漏洞,我们尝试了gitlab的默认账户root的项目共享网址,发现root共享的项目中包含了App源代码,我们技术立即打包下载下来到我们自己电脑,深入的分析了java代码里的一些配置文件,发现存在一些阿里云oss的key和密钥信息,我们尝试利用阿里云的oss key和密钥发现,该密钥的权限特别大,可以直接获取到当前阿里云账户下的所有服务器信息,以及所有阿里云服务管理权限。

此时此刻,这个漏洞的危害性实在太大了,可以操控阿里云账户下的所有服务器,正因为这个漏洞,才发生了一开始我们介绍的客户被攻击的症状,为何用户刚注册的信息,立马就被泄露,根源就是这个阿里云oss key和密钥泄露问题,导致黑客可以直接登录服务器去查看数据库,并实时的从数据库中提取用户的手机号和姓名以及身份证号卖给第三方,第三方使用电话进行营销推广,目前已形成了一个产业链,针对这个漏洞我们让客户确认了下上述图片中的服务器是否是客户账户下的,经项目方运维技术确认,的确是他们阿里云账户下的所有服务器,由于运维技术可能对我们SINESAFE的技术实力有点不相信,在进行渗透测试安全服务的一开始就对我们说,知道服务器IP是没用的,你得真正拿到服务器管理员权限才行,经过客户的授权允许后,在不影响正式业务的运行下,我们利用阿里云的key和密钥执行了SHELL命令,并直接进入了服务器使用的是root权限,发现数据库部署在172.18.17.165内网,通过history获取到了用户的一些历史操作命令,其中包括Mysql的数据库账户和密码,本身一开始的时候,我们就发现服务器对外开放了3306端口,我们获得这些数据库账户信息后,立即远程连接了mysql查看到,的确是App的所有数据库内容,截图如下:

此时客户的运维技术,看到我们发的这个截图后,立马改口说:服了,真牛,不亏是专业的网站安漏洞修复服务商,至此整个溯源以及漏洞发生的问题都已找到,后续客户直接签订了长期的APP渗透测试服务和安全加固服务,通过后续的服务,我们SINE安全技术又发现API接口存在一些越权漏洞,可越权查看用户信息,可导致APP的用户信息被泄露和篡改,比如用户的金额也可以直接通过这个接口漏洞直接修改成任意的金额,APP中的留言反馈功能还存在XSS跨站攻击,导致黑客可以获取到后台的session值和cookie值,可直接登录后台,还有一些接口使用说明,也直接暴露在了前端,由于开发人员没有安全意识,随手就把一些备份文件放到了网站根目录下,通过一些工具,可获取到了此备份文件,文件里包含很多代码信息,诸如此类的漏洞实在是太多了,如果有遇到此类问题的朋友记得要仔细排查每一个细节和功能,凡是关联数据库的服务器或网站或APP一定都要仔细排查漏洞,因为这都是黑客攻击的入口,入口越多,黑客入侵的成功几率也就越大,如果实在搞不定,又摸不着头脑的话可以找专业的网站漏洞修复服务商来处理数据泄露的问题。

相关文章
《仿盒马》app开发技术分享-- 确认订单页(数据展示)(29)
上一节我们实现了地址的添加,那么有了地址之后我们接下来的重点就可以放到订单生成上了,我们在购物车页面,点击结算会跳转到一个 订单确认页面,在这个页面我们需要有地址选择、加购列表展示、价格计算、优惠计算、商品数量展示等信息。
330 3
|
存储 监控 API
【Azure App Service】分享使用Python Code获取App Service的服务器日志记录管理配置信息
本文介绍了如何通过Python代码获取App Service中“Web服务器日志记录”的配置状态。借助`azure-mgmt-web` SDK,可通过初始化`WebSiteManagementClient`对象、调用`get_configuration`方法来查看`http_logging_enabled`的值,从而判断日志记录是否启用及存储方式(关闭、存储或文件系统)。示例代码详细展示了实现步骤,并附有执行结果与官方文档参考链接,帮助开发者快速定位和解决问题。
393 22
|
BI 开发工具 开发者
App全渠道统计方案:如何用一个工具整合所有获客渠道数据?
还在为地推、社群、广告等不同获客渠道的数据分散而烦恼吗?本文将教您如何用一个工具整合所有渠道数据,实现精准的渠道归因与效果分析。
459 0
|
前端开发 Java Shell
【08】flutter完成屏幕适配-重建Android,增加GetX路由,屏幕适配,基础导航栏-多版本SDK以及gradle造成的关于fvm的使用(flutter version manage)-卓伊凡换人优雅草Alex-开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草Alex
【08】flutter完成屏幕适配-重建Android,增加GetX路由,屏幕适配,基础导航栏-多版本SDK以及gradle造成的关于fvm的使用(flutter version manage)-卓伊凡换人优雅草Alex-开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草Alex
1027 20
【08】flutter完成屏幕适配-重建Android,增加GetX路由,屏幕适配,基础导航栏-多版本SDK以及gradle造成的关于fvm的使用(flutter version manage)-卓伊凡换人优雅草Alex-开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草Alex
|
Windows
【Azure App Service】对App Service中CPU指标数据中系统占用部分(System CPU)的解释
在Azure App Service中,CPU占比可在App Service Plan级别查看整个实例的资源使用情况。具体应用中仅能查看CPU时间,需通过公式【CPU Time / (CPU核数 * 60)】估算占比。CPU百分比适用于可横向扩展的计划(Basic、Standard、Premium),而CPU时间适用于Free或Shared计划。然而,CPU Percentage包含所有应用及系统占用的CPU,高CPU指标可能由系统而非应用请求引起。详细分析每个进程的CPU占用需抓取Windows Performance Trace数据。
381 40
|
安全 算法 Linux
Linux 服务器还有漏洞?建议使用 OpenVAS 日常检查!
在数字化时代,Linux 服务器的安全至关重要。OpenVAS 是一款优秀的开源漏洞扫描工具,可以帮助及时发现并修复服务器中的安全隐患。本文将介绍 OpenVAS 的主要功能、使用方法及应对漏洞的措施,帮助用户加强服务器安全管理,确保企业数字化安全。
623 7
|
安全 Apache 开发工具
【Azure App Service】在App Service上关于OpenSSH的CVE2024-6387漏洞解答
CVE2024-6387 是远程访问漏洞,攻击者通过不安全的OpenSSh版本可以进行远程代码执行。CVE-2024-6387漏洞攻击仅应用于OpenSSH服务器,而App Service Runtime中并未使用OpenSSH,不会被远程方式攻击,所以OpenSSH并不会对应用造成安全风险。同时,如果App Service的系统为Windows,不会受远程漏洞影响!
234 1
|
NoSQL 应用服务中间件 PHP
布谷一对一直播源码服务器环境配置及app功能
一对一直播源码阿里云服务器环境配置及要求
|
NoSQL PHP Redis
布谷语音app源码服务器环境配置及技术开发语言
布谷语音app源码服务器环境配置及技术语言研发。。
|
JSON API 网络安全
App数据的爬取
App数据的爬取
2111 3

热门文章

最新文章