首页 证券 正文

[股票600888]对金融平台的渗透测试服务过程分享

wx头像 wx 2023-03-03 07:01:46 6
...

对金融渠道的浸透测验服务进程共享

气候越来越凉快,在新闻发布渠道对客户站代码进行浸透测验,缝隙测验的一起咱们SINE安全浸透技能要对客户的站源代码进行全方位的安全检测与审计,只要真实的了解站,才干更好的去浸透测验,发现站存在的缝隙,尽可能的让客户的站在上线之前,安全防护做到最极致.在后期的站,渠道快速软文开展进程中,防止严重的缝隙导致的经济损失.

首要共享一下咱们SINE安全前段时间对客户的金融渠道的浸透测验进程,在审计代码的时分发现了问题,首要看到的是客户站选用的php言语+mysql数据库,前端还使用了VUEJS结构,在进行浸透测验前,咱们要检查客户站的源代码是否加密以及混杂,再一个检查php文件是否对应的URL地址,是调用的,站发稿仍是独自的PHP功用页面,还有进口文件和ind媒体发稿渠道ex.php主页拜访页面的代码是否共同化.接着要了解的是整个金融渠道站的目录,都包含哪些功用目录,这次咱们检查到的,客户站有会员注册功用,头像上传功用,银行卡添加,充值,提现,出资记载,定见与反应,个人资料修正等等功用.

咱们SINE安全在进行站代码的安全审计,选用的审计方法是灵敏函数以及传输值的追寻与调试的方法去检查代码是否含有歹意代码以及存在的缝隙危险,是否可导致产生站缝隙,包含一些逻辑缝隙,笔直,平行越权缝隙的产生.

[股票600888]对金融平台的渗透测试服务过程分享

在大体的代码审计一遍后发现有些PHP文件存在发布新闻渠道SQL注入缝隙,没有开关闭合引号,导新闻发布致能够前端传入歹意的参数值,并传入到数据库中进行履行,特别新闻公告栏目里newxinxi.php?id=18,翻开后是直接调用数据库里的新闻内容,但软文推行是ID这个值没有约束输入中文以及特别字符,导致直接履行到后端的数据库傍边去了,咱们SINE安全技能随即对客户的站缝隙进行了修正,约束ID=的值为数字,不允许输入中文等特别字符.在充值,以及提现功用里,咱们发现客户的站代码并没有对数字的正负号进行约束,导致能够输入负号进行充值,以及提现,在实践的浸透测验中发现提现中输入负数,能够导致个人账户里的金额软文渠道添加,后台并没有审阅提现的功用.而是直接履行了提现功用.

站还存在长途履行代码写入缝隙.可导致站被上传webshell,从而导致站的权限以及服务器的权限被拿下,用户数据被篡改被走漏都是能够产生的.咱们来看下这个代码,如下图:

咱们来看下这个变量值是怎么写,怎么赋值的,$page,$dir=dirname(__FILE发稿渠道__).‘/../backup/’这个backup便是自界说的备份目录.dirname便是输出的文件名,当咱们用helper去界说这个类的时分,就会调用代码里的IF句子,判别条件是否满意,假如满意就能够导致长途刺进歹意代码,或结构歹意的代码去履行,并输出歹意文件到媒体发布渠道站目录中,像webshell都是能够的.以上是咱们SINE安全在对客户站进行浸透测验服务中发现的一部分缝隙,以及怎么做的代码安全审计,缝隙测验进程的共享,,假如站在运转中呈现了被进犯,数据被篡改等进犯问题,能够找专业的站安全公司来进行浸透测验服务,国内SINESAFE,绿盟,启明星斗,都是比较不错的,安全防患于未然,发现缝隙,修正缝隙,促进站在上线之前安全防护做到极致,站安全了,用户才干用的安心,也期望更多的人了解浸透测验服务.

本文地址:https://www.changhecl.com/262221.html

退出请按Esc键