上海经济7月份开始陆续恢复,一些在上海做APP项目的客户开始了一系列的营销推广和发展,在众多渠道推广下,用户下载安装APP的同时,一些安全上的漏洞频发,并被高级黑客给盯上,具体的数据泄露攻击的症状为:用户刚注册好的用户信息就被泄露,不一会就会收到电话推广营销,并且有些用户的数据被恶意篡改,导致APP运营平台损失较大,比如一些用户借贷额度被篡改成20w的额度,APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务,要求尽快找出漏洞问题的原因以及攻击进行溯源。
了解到上述情况后,我们SINE安全立即安排了技术团队对APP项目方的整体运维关联的服务器以及数据库、API接口服务器和落地推广服务器、H5域名进行了信息整理和搜集,并仔细询问了最早发生这种数据被盗取泄露和被篡改的时间,以及带来的损失和管理员人员的第三方安全排查和记录,通过此项目的运维人员的了解,发现服务器都使用的是Linux系统,项目App的架构语言是用Java+Vue开发的,API接口使用的也是java开发的,而且运维人员告知程序员,所有的代码修改和调试都要在正式服务器里的测试环境中进行,简单来理解的话,就是说代码开发人员在使用项目中的服务器,去调试和修改代码,通过我们工程师人工审计扫描发现,服务器开放了8099,22,3306,21,80,443,8080等端口,看了下8099端口是用于GItlab系统,此系统是程序员用于修改App代码和同步代码用的,22端口是运维技术和开发人员登录服务器的SSH端口用的,3306是一些Mysql测试数据库和正式数据库用的端口,21端口是程序员上传文件用的Ftp服务端口,80和443是API接口和App项目所用到的对外用户访问的服务,8080是程序员调试app接口用的。
通过我们的前期信息搜集,有些细节一定不能拉下,一个小的问题点就会导致出现漏洞,我们尝试了gitlab的默认账户root的项目共享网址,发现root共享的项目中包含了App源代码,我们技术立即打包下载下来到我们自己电脑,深入的分析了java代码里的一些配置文件,发现存在一些阿里云oss的key和密钥信息,我们尝试利用阿里云的oss key和密钥发现,该密钥的权限特别大,可以直接获取到当前阿里云账户下的所有服务器信息,以及所有阿里云服务管理权限。
此时此刻,这个漏洞的危害性实在太大了,可以操控阿里云账户下的所有服务器,正因为这个漏洞,才发生了一开始我们介绍的客户被攻击的症状,为何用户刚注册的信息,立马就被泄露,根源就是这个阿里云oss key和密钥泄露问题,导致黑客可以直接登录服务器去查看数据库,并实时的从数据库中提取用户的手机号和姓名以及身份证号卖给第三方,第三方使用电话进行营销推广,目前已形成了一个产业链,针对这个漏洞我们让客户确认了下上述图片中的服务器是否是客户账户下的,经项目方运维技术确认,的确是他们阿里云账户下的所有服务器,由于运维技术可能对我们SINESAFE的技术实力有点不相信,在进行渗透测试安全服务的一开始就对我们说,知道服务器IP是没用的,你得真正拿到服务器管理员权限才行,经过客户的授权允许后,在不影响正式业务的运行下,我们利用阿里云的key和密钥执行了SHELL命令,并直接进入了服务器使用的是root权限,发现数据库部署在172.18.17.165内网,通过history获取到了用户的一些历史操作命令,其中包括Mysql的数据库账户和密码,本身一开始的时候,我们就发现服务器对外开放了3306端口,我们获得这些数据库账户信息后,立即远程连接了mysql查看到,的确是App的所有数据库内容,截图如下:
此时客户的运维技术,看到我们发的这个截图后,立马改口说:服了,真牛,不亏是专业的网站安漏洞修复服务商,至此整个溯源以及漏洞发生的问题都已找到,后续客户直接签订了长期的APP渗透测试服务和安全加固服务,通过后续的服务,我们SINE安全技术又发现API接口存在一些越权漏洞,可越权查看用户信息,可导致APP的用户信息被泄露和篡改,比如用户的金额也可以直接通过这个接口漏洞直接修改成任意的金额,APP中的留言反馈功能还存在XSS跨站攻击,导致黑客可以获取到后台的session值和cookie值,可直接登录后台,还有一些接口使用说明,也直接暴露在了前端,由于开发人员没有安全意识,随手就把一些备份文件放到了网站根目录下,通过一些工具,可获取到了此备份文件,文件里包含很多代码信息,诸如此类的漏洞实在是太多了,如果有遇到此类问题的朋友记得要仔细排查每一个细节和功能,凡是关联数据库的服务器或网站或APP一定都要仔细排查漏洞,因为这都是黑客攻击的入口,入口越多,黑客入侵的成功几率也就越大,如果实在搞不定,又摸不着头脑的话可以找专业的网站漏洞修复服务商来处理数据泄露的问题。
