APP后台以及用户数据被泄露 该如何防护

近期我们接到许多DK平台反馈APP里的用户信息数据被泄露,导致用户经常受到境外香港电话推广骚扰,有些用户甚至被网络诈骗,而且用户当天申请填写表单里的手机号,没过多久就泄露了,紧接着香港电话就会打过来,询问用户是否需要借款的需求,了解到这个紧急情况后,由于客户一直在做抖音、快手、百度的推广,损失较大,需要尽快排查出用户手机号被泄露的原因,防止用户信息以及数据继续被泄露,我们小蚁安全随即成立了安全应急响应小组,跟客户的平台运维技术对接了服务器信息以及H5落地页、API接口信息和APP以及CRM后台系统的大体情况的整理

我们对关联到数据库的服务器以及项目进行了详细梳理,发现客户共使用了3台阿里云服务器以及RDS数据库实例,其中一台为APP和H5 API接口使用,另一台用于CRM机构账户的系统,还有一台是用于后台管理系统,我们小蚁安全技术对服务器的日志,以及API接口的nginx网站访问日志进行了详细安全分析,并安排了技术人员对H5落地页,填写表单信息功能,以及下载客户的APP,进行了全面的人工安全渗透测试,在提交包含手机号的功能API接口里,发现存在返回数据包中存在用户信息泄露,如下图所示:

该API接口的POST请求包里的的uid,存在返回数据包数据泄露,而且该APP每天用户的注册量达到2W多,也就是相当于每天泄露两万多的用户信息,包含姓名以及身份证号,手机号,社保,房地产资产情况,这个漏洞的严重性实在是太大了,给平台运营者带来了巨大的损失,我们小蚁安全跟客户详细沟通和了解后,这个程序源代码,原先最早是找的第三方公司去开发设计的,后期上规模后才招聘的JAVA程序员进行的二次开发,很多接口上的代码功能都是在摸索前进,所以有些接口的功能,就会出现数据泄露漏洞,导致该JAVA程序员没法去详细定位漏洞根源,毕竟最初开发程序的是第三方公司并不是JAVA程序员自己一手开发。我们小蚁安全工程师继续对其他系统和服务器进行详细渗透测试,后台服务器也存在安全问题,由于APP的管理员非常多,难免有些管理员设置的密码较为简单,在后台这里发现某些管理员账户存在弱口令漏洞,通过登录该管理员账户,我们在后台设置发现短信接口的key和密钥,由于后台系统里的用户手机号这些信息都是脱敏加密的,我们小蚁安全技术随即对第三方短信通道的key和密钥进行渗透测试,发现该第三方短信API接口存在漏洞,可以绕过白名单IP,直接使用KEY和密钥来请求短信接口,通过返回的数据包,来获得发送短信的手机号列表。如下图所示:

由于客户APP上到一定规模后,受到黑客的攻击会越来越多,许多客户在业务快速发展的同时,从而疏忽了APP安全上的问题,都觉得自己的技术人员能够解决信息泄露的漏洞问题,事实上不是这样,因为开发人员只是负责开发实现业务功能,并不知道该功能可能会存在漏洞,开发是开发,安全是安全,两者不是一回事,术业有专攻,一定要找专业的网站漏洞修复服务商来解决数据泄露的问题,排查日志和审计源代码漏洞,并进行整体的安全加固与防护,鉴于有些客户使用的事RDS阿里云数据库,而且并没有对数据库的访问进行IP白名单限制,导致黑客可以使用阿里云的密钥和key来获取rds的数据库连接信息,会造成数据库数据被盗取,数据库表里的信息也都会被窃取,而且黑客每天都会在固定时间,去自动提取用户的手机号和姓名,并将数据倒卖给第三方,第三方用香港电话进行骚扰推广以及网络诈骗,对此我们小蚁安全建议大家,如果遇到这种用户数据泄露症状的问题,一定要找有实战安全防护经验的网站安全公司来解决此问题,只有APP安全稳定了,客户信息不被泄露了,才会源源不断的获取更多的用户,才会共赢,客户对此次的敏感信息泄露漏洞排查与修复感到满意,并签订了长期的渗透测试与APP安全维护服务,有新系统上线以及新功能增加与代码修改,我们对会第一时间进行人工安全检测,检测是否存在漏洞以及信息泄露的问题,提前做好安全防护,可将绝大多数的黑客攻击扼杀在襁褓之中。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/70381.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ap计算机科学5分率,AP考试5分率及难度分析

2019年的AP报名窗口已经开启,AP选考究竟要注意些什么?如何结合科目难度和自身情况,申请的时候尽可能地凸显的优势呢?今天老师从AP各科的难度和5分率进行分析,让大家了解过往战况,好好制定最适合的选考策略。…

ALEVEL数学、物理、化学、生物与国内考试的区别

A-Level考试中数学、物理、化学、生物是常考热门科目,这些科目在国内高考中也有对应的科目,那么,两者之间有什么区别呢? 1、A-Level物理与国内高考物理 从知识范围广度来看,A-Level物理更胜一筹,涉及的知识…

PTA L2-046 天梯赛的赛场安排 (25 分)

天梯赛使用 OMS 监考系统,需要将参赛队员安排到系统中的虚拟赛场里,并为每个赛场分配一位监考老师。每位监考老师需要联系自己赛场内队员对应的教练们,以便发放比赛账号。为了尽可能减少教练和监考的沟通负担,我们要求赛场的安排满…

分析数学成绩,尽然我考了0分

编程语言:Python 简单的数据分析 导入 pygal 废话不多说直接上代码! import pygal radar_chart pygal.Radar() radar_chart.title 数学考试成绩分析 radar_chart.x_labels [班长, 学委, 体育委员, 学渣, 学霸,我] radar_chart.add(高三(5)班, [86, 96, 69, 49, …

T06 成绩排序

查找和排序 题目:输入任意(用户,成绩)序列,可以获得成绩从高到低或从低到高的排列,相同成绩 都按先录入排列在前的规则处理。 示例: jack 70 peter 96 Tom 70 smith 67 从高到低 成…

Quick Request使用教程

一、基本介绍 Quick Request作为IntelliJ IDEA的插件,提供给开发人员更好的调试体验,当前可支持Spring Mvc、Dubbo框架的所有请求,具有简单易用、自动生成请求参数、项目环境管理、历史请求记录、保存请求及快速搜索的特点,下面给…

python爬虫二十四:js逆向破解(一)

1、环境搭建 通过python代码模拟js去生成加密数据完成数据破解,需要用到PyExecJS模块 ①安装模块pip install pyexecjs通过模块的方法来读取js代码,也可以用js2py(不更新维护了)、selenium(driver.wxecute_script(js代码))去执行js文件,这里…

关于ref哪怕在$nextTick()中有时候获取不到节点元素的问题。(较为诡异的bug)

我的需求是用element-ui的messagebox,来实现验证码接受的功能。并将cancel按钮换成刷新功能,在beforeClose中实现验证码刷新。元素都是在$msgbox中生成的,下面是最开始出错的核心代码。 let result await this.$API.reqCaptchaImg();this.ca…

微信小程序实现分页加载,触底加载下一页,滚动加载

这里我就不写wxml了,就是一个列表循环,直接看js代码逻辑,注释都写在代码后面了,这个方法可以实现无限滚动加载,直到加载完最后一条数据,也可以实现触底没数据后,二次触底可以从新加载刷新&#…

某地刑侦大队对涉及6个嫌疑人的一桩疑案进行分析

(1)A、B 至少有一人作案; (2)A、E、F 三人中至少有两人参与作案; (3)A、D 不可能是同案犯; (4)B、C 或同时作案,或与本案无关&#xf…

今天,微软重新发明搜索引擎:首款ChatGPT搜索来了

从现在起,比 ChatGPT 更强大的语言模型直接进入了你的浏览器。 一夜之间,全球最大的科技公司仿佛都回到了自己年轻时的样子。 在谷歌宣布「实验性对话式人工智能服务」Bard 之后仅 24 小时,北京时间 2 月 8 日凌晨两点,微软发布了…

嵌入式工程师的入门须知----亲测

嵌入式工程师的学习路线----亲测 本文概述入门之前必做竭尽所能了解嵌入式技术与职业规划正确认识自己 我眼中的嵌入式技术我眼中的职业规划我的入门之路总结 本文概述 这是一篇关于想要踏进嵌入式技术之路与相关职业规划的建议性文档,文中观点仅限于个人对于嵌入式…

嵌入式软件工程师面试必备技能

随着当前信息化网络技术在各行业的快速普及,嵌入式系统在技术领域呈现了前所未有的发展趋势,作为一个正在崛起的热门IT行业,人才的匮乏已经成为了嵌入式开发行业发展过程中呈现出的一种现象。据相关部门统计,我国目前嵌入式软件工…

电子通信、嵌入式工程师的面试指南

作者:火哥 授权转载自公众号嵌入式老鸟的职场之道(id:ict_embedded),火哥也是我们的校园代理 火哥自从校招找工作到现在,面试过不下50家公司,拿到过不少于30个offer。虽然不能说百战百胜,但是也还算有着较…

嵌入式软件工程师培训:提升技能、实现卓越

如果您对嵌入式培训感兴趣,以下是一些建议和关键点,可以帮助您进行嵌入式培训: 培训目标:明确确定您的嵌入式培训目标。是为了提升员工的技能水平,使他们能够承担更高级别的嵌入式开发工作,还是为了向非嵌入…

嵌入式工程师常用的软件工具推荐

前言:常言道:工欲善其事,必先利其器。作为一名合格的嵌入式工程师,日常可能需要接触和处理各种奇奇怪怪的问题,这时候一款高适配性的工具将会令工作效率大大提升。作者根据个人的实际使用情况与粉丝的客观感受&#xf…

软考中级-嵌入式系统设计师(一)

第一章 硬件基础 1、嵌入式微处理器结构 ARM采用哈佛结构,是一种RISC体系结构的微处理器。 DSP(数字信号处理技术)采用哈佛结构,具有专门的硬件乘法器,广泛采用流水线操作,提供特殊的指令,可以用…

嵌入式软件工程师学习路线图

人们去学习嵌入式的话,最后也是想成为嵌入式软件工程师的,这对于学习嵌入式学员来说还是有些难度的,所以这回小编就给大家介绍下嵌入式软件工程师学习路线图吧。 点击获取1V1嵌入式学习规划,现在还送100G精选学习资料。&#xff0…

嵌入式工程师的『2022 || 2023』

因为一些个人关系,2022年初我从北京回到了石家庄。在找工作,包括后续的研发工作中,不同地点的经历在对比中我逐渐总结出了一些经验。关于“人”方面的感悟我就不赘述了,下面主要在这里总结一些找工作,做工作的经验&…

嵌入式工程师必备开发工具

其实入行也有2年了,这两年用到了不少的开发工具,我猜大家很多也都用到过。这里主要是讲一下用到那些工具,安装自己去找教程吧!毕竟安装这些软件可比开发容易多了! 1.KEIL5 嵌入式产品开发写代码用到的工具。STM32相关…