APP数据被泄露接到境外电话 该怎么查服务器漏洞

简介: 上海经济7月份开始陆续恢复,一些在上海做APP项目的客户开始了一系列的营销推广和发展,在众多渠道推广下,用户下载安装APP的同时,一些安全上的漏洞频发,并被高级黑客给盯上,具体的数据泄露攻击的症状为:用户刚注册好的用户信息就被泄露,不一会就会收到电话推广营销,并且有些用户的数据被恶意篡改,导致APP运营平台损失较大,比如一些用户借贷额度被篡改成20w的额度,APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务,要求尽快找出漏洞问题的原因以及攻击进行溯源。

上海经济7月份开始陆续恢复,一些在上海做APP项目的客户开始了一系列的营销推广和发展,在众多渠道推广下,用户下载安装APP的同时,一些安全上的漏洞频发,并被高级黑客给盯上,具体的数据泄露攻击的症状为:用户刚注册好的用户信息就被泄露,不一会就会收到电话推广营销,并且有些用户的数据被恶意篡改,导致APP运营平台损失较大,比如一些用户借贷额度被篡改成20w的额度,APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务,要求尽快找出漏洞问题的原因以及攻击进行溯源。

了解到上述情况后,我们SINE安全立即安排了技术团队对APP项目方的整体运维关联的服务器以及数据库、API接口服务器和落地推广服务器、H5域名进行了信息整理和搜集,并仔细询问了最早发生这种数据被盗取泄露和被篡改的时间,以及带来的损失和管理员人员的第三方安全排查和记录,通过此项目的运维人员的了解,发现服务器都使用的是Linux系统,项目App的架构语言是用Java+Vue开发的,API接口使用的也是java开发的,而且运维人员告知程序员,所有的代码修改和调试都要在正式服务器里的测试环境中进行,简单来理解的话,就是说代码开发人员在使用项目中的服务器,去调试和修改代码,通过我们工程师人工审计扫描发现,服务器开放了8099,22,3306,21,80,443,8080等端口,看了下8099端口是用于GItlab系统,此系统是程序员用于修改App代码和同步代码用的,22端口是运维技术和开发人员登录服务器的SSH端口用的,3306是一些Mysql测试数据库和正式数据库用的端口,21端口是程序员上传文件用的Ftp服务端口,80和443是API接口和App项目所用到的对外用户访问的服务,8080是程序员调试app接口用的。

通过我们的前期信息搜集,有些细节一定不能拉下,一个小的问题点就会导致出现漏洞,我们尝试了gitlab的默认账户root的项目共享网址,发现root共享的项目中包含了App源代码,我们技术立即打包下载下来到我们自己电脑,深入的分析了java代码里的一些配置文件,发现存在一些阿里云oss的key和密钥信息,我们尝试利用阿里云的oss key和密钥发现,该密钥的权限特别大,可以直接获取到当前阿里云账户下的所有服务器信息,以及所有阿里云服务管理权限。

此时此刻,这个漏洞的危害性实在太大了,可以操控阿里云账户下的所有服务器,正因为这个漏洞,才发生了一开始我们介绍的客户被攻击的症状,为何用户刚注册的信息,立马就被泄露,根源就是这个阿里云oss key和密钥泄露问题,导致黑客可以直接登录服务器去查看数据库,并实时的从数据库中提取用户的手机号和姓名以及身份证号卖给第三方,第三方使用电话进行营销推广,目前已形成了一个产业链,针对这个漏洞我们让客户确认了下上述图片中的服务器是否是客户账户下的,经项目方运维技术确认,的确是他们阿里云账户下的所有服务器,由于运维技术可能对我们SINESAFE的技术实力有点不相信,在进行渗透测试安全服务的一开始就对我们说,知道服务器IP是没用的,你得真正拿到服务器管理员权限才行,经过客户的授权允许后,在不影响正式业务的运行下,我们利用阿里云的key和密钥执行了SHELL命令,并直接进入了服务器使用的是root权限,发现数据库部署在172.18.17.165内网,通过history获取到了用户的一些历史操作命令,其中包括Mysql的数据库账户和密码,本身一开始的时候,我们就发现服务器对外开放了3306端口,我们获得这些数据库账户信息后,立即远程连接了mysql查看到,的确是App的所有数据库内容,截图如下:

此时客户的运维技术,看到我们发的这个截图后,立马改口说:服了,真牛,不亏是专业的网站安漏洞修复服务商,至此整个溯源以及漏洞发生的问题都已找到,后续客户直接签订了长期的APP渗透测试服务和安全加固服务,通过后续的服务,我们SINE安全技术又发现API接口存在一些越权漏洞,可越权查看用户信息,可导致APP的用户信息被泄露和篡改,比如用户的金额也可以直接通过这个接口漏洞直接修改成任意的金额,APP中的留言反馈功能还存在XSS跨站攻击,导致黑客可以获取到后台的session值和cookie值,可直接登录后台,还有一些接口使用说明,也直接暴露在了前端,由于开发人员没有安全意识,随手就把一些备份文件放到了网站根目录下,通过一些工具,可获取到了此备份文件,文件里包含很多代码信息,诸如此类的漏洞实在是太多了,如果有遇到此类问题的朋友记得要仔细排查每一个细节和功能,凡是关联数据库的服务器或网站或APP一定都要仔细排查漏洞,因为这都是黑客攻击的入口,入口越多,黑客入侵的成功几率也就越大,如果实在搞不定,又摸不着头脑的话可以找专业的网站漏洞修复服务商来处理数据泄露的问题。

相关文章
|
29天前
|
安全 Linux 文件存储
如何在本地服务器部署TeslaMate并远程查看特斯拉汽车数据无需公网ip
如何在本地服务器部署TeslaMate并远程查看特斯拉汽车数据无需公网ip
|
29天前
|
数据采集 中间件 Python
Scrapy爬虫:利用代理服务器爬取热门网站数据
Scrapy爬虫:利用代理服务器爬取热门网站数据
|
29天前
|
JSON Android开发 数据格式
android与Web服务器交互时的cookie使用-兼谈大众点评数据获得(原创)
android与Web服务器交互时的cookie使用-兼谈大众点评数据获得(原创)
30 2
|
7天前
|
监控 前端开发 JavaScript
JS Navigator.sendBeacon 可靠的、异步地向服务器发送数据
Navigator.sendBeacon 是一个用于发送少量数据到服务器的 API,尤其适用于在页面即将卸载时发送数据,如日志记录、用户行为分析等。 与传统的 AJAX 请求不同,sendBeacon 方法的设计目标是确保数据在页面卸载(例如用户关闭标签页或导航到新页面)时能够可靠地发送。 Navigator.sendBeacon 方法可用于通过 HTTP POST 将少量数据异步传输到 Web 服务器。 它主要用于将统计数据发送到 Web 服务器,同时避免了用传统技术(如:XMLHttpRequest)发送分析数据的一些问题。
17 1
|
20天前
mallocstacklogging和MallocStackLoggingNoCompact引起的app文稿数据快速增加
mallocstacklogging和MallocStackLoggingNoCompact引起的app文稿数据快速增加
21 0
|
29天前
|
存储 JSON JavaScript
Node.js 上开发一个 HTTP 服务器,监听某个端口,接收 HTTP POST 请求并处理传入的数据
Node.js 上开发一个 HTTP 服务器,监听某个端口,接收 HTTP POST 请求并处理传入的数据
21 0
|
29天前
|
存储 算法 数据挖掘
服务器数据恢复—拯救raid5阵列数据大行动,raid5数据恢复案例分享
**Raid5数据恢复算法原理:** 分布式奇偶校验的独立磁盘结构(被称之为raid5)的数据恢复有一个“奇偶校验”的概念。可以简单的理解为二进制运算中的“异或运算”,通常使用的标识是xor。运算规则:若二者值相同则结果为0,若二者结果不同则结果为1。 例如0101 xor 0010根据上述运算规则来计算的话二者第一位都是0,两者相同,结果为0 ;第二、三、四位的数值不同则结果均为1,所以最终结果为0111。公式表示为:0101 xor 0010 = 0111,所以在 a xor b=c 中如果缺少其中之一,我们可以通过其他数据进行推算,这就是raid5数据恢复的基本原理。 了解了这个基本原理
|
29天前
LabVIEW使用VI服务器的调用节点将数据传递到另一个VI 使用调用节点(Invoke Node)与通过引用调用节点(Call by Reference)调用VI时有什么差别?
LabVIEW使用VI服务器的调用节点将数据传递到另一个VI 使用调用节点(Invoke Node)与通过引用调用节点(Call by Reference)调用VI时有什么差别?
16 0
|
29天前
|
存储 JavaScript 前端开发
uni-app 从vue3项目创建到Pinia管理数据全局使用 持久化存储数据 详细教程
uni-app 从vue3项目创建到Pinia管理数据全局使用 持久化存储数据 详细教程
|
29天前
|
监控 安全 持续交付
【专栏】Webhook是服务器主动发送事件通知的机制,打破传统客户端轮询模式,实现数据实时高效传递。
【4月更文挑战第29天】Webhook是服务器主动发送事件通知的机制,打破传统客户端轮询模式,实现数据实时高效传递。常用于持续集成部署、第三方服务集成、实时数据同步和监控告警。具有实时性、高效性和灵活性优势,但也面临安全风险和调试挑战。理解并善用Webhook能提升系统性能,广泛应用于现代软件开发和集成。