在前三周的时间里,蒲公英为大家简要介绍了Android应用APP端的常见漏洞,它们分别是:
Android 开发 APP 端常见安全漏洞解读——敏感信息泄露漏洞
深入浅出 App 端安全漏洞之备份功能开启及本地拒绝服务漏洞
深入浅出 App 端安全漏洞之任意调试漏洞、中间人劫持漏洞及加密算法漏洞
从本周开始,蒲公英将会为大家带来Android应用服务端的常见漏洞。
由于移动互联网行业的发展,目前大量服务已从传统的PC端扩展到移动端,但是几乎所有数据还是通过连接服务端来进行处理的,服务端其实就是给客户端提供了处理数据的接口,所以还需要对进入服务端的数据进行强有效的安全校验,来保证服务端数据的安全。另外,现在很常见的运作方式是移动端由APP来处理业务,PC端由网站来处理业务,这就更增加了业务所面临的风险。
理论上,Web服务器所有安全问题也会出现在APP的服务端。由于Web安全已经发展了很长时间,研究人员、黑客也很多,技术成熟,更容易被黑客发现漏洞。
那么下面就开始简要介绍一下服务端常见的一些漏洞:
SQL注入漏洞
SQL注入是攻击数据库最常用的手段,这种漏洞存在的时间也是最长的,危害也很大。产生漏洞的原因就是程序没有判断用户输入的数据,就带入数据库了,就使数据库存在安全隐患。
SQL注入漏洞能导致用户信息泄露,被不法分子出售、诈骗等,也可能破坏数据、导致数据缺乏可审计性,或者是拒绝服务,有时甚至能导致完全接管主机,危害内网安全。
很多人会诧异这种上个世纪就存在的漏洞现在依然会存在吗?蒲公英告诉你,是的。
大家可以看下面几个案例:
1号社区App存在SQL注入漏洞
存在注入的参数:cityCode Number pageSize
获取权限后直接进入了管理后台
米途App某处存在SQL注入漏洞
URL:
http://wx.miot.cn/i-21898?from=timeline&innid=21898&isappinstalled=0
存在漏洞的参数:innid
用户信息泄露
以及以下几个案例:
好贷网App存在SQL注入漏洞
http://www.myhack58.com/Article/html/2/5/2015/69301.htm
蜂鸟网官方App存在SQL注入漏洞(跨67个库+附绕过验证脚本)
http://www.2cto.com/Article/201601/465166.html
漫画岛安卓App服务器SQL注入可致用户数据、服务器信息泄露
http://www.2cto.com/Article/201603/492696.html
文件上传漏洞
现在很多APP都有文件上传功能,比如用户头像上传、图片上传、文档上传等,程序的上传功能没严格限制文件后缀名以及文件类型,攻击者就可以上传木马文件来达到目的。
而上传了木马文件后,获取网站管理权限,查看、编辑任意文件,获取数据库数据,甚至获取主机权限对黑客们来说就是轻而易举的事情了。
以下案例均为文件上传漏洞:
某App任意文件上传漏洞,可被上传木马,最终获得网站权限
检测点:个人主页背景图片更换、拼颜值、头像更换
无线苏州APP任意文件上传(影响59万用户信息)
头像上传处
获取了后台数据
由此看来,服务端的漏洞确实要比APP端更容易被发现、危害且不亚于APP端,本周的介绍就到这里,下周将会为大家带来越权漏洞与XSS漏洞的介绍。
网友评论