深入浅出Android应用服务端安全漏洞之SQL注入漏洞与文件上传漏洞

由于移动互联网行业的发展,目前大量服务已从传统的PC端扩展到移动端,但是几乎所有数据还是通过连接服务端来进行处理的,服务端其实就是给客户端提供了处理数据的接口,所以还需要对进入服务端的数据进行强有效的安全校验,来保证服务端数据的安全。另外,现在很常见的运作方式是移动端由APP来处理业务,PC端由网站来处理业务,这就更增加了业务所面临的风险。

理论上,Web服务器所有安全问题也会出现在APP的服务端。由于Web安全已经发展了很长时间,研究人员、黑客也很多,技术成熟,更容易被黑客发现漏洞。

那么下面就开始简要介绍一下服务端常见的一些漏洞:

SQL注入漏洞

SQL注入是攻击数据库最常用的手段,这种漏洞存在的时间也是最长的,危害也很大。产生漏洞的原因就是程序没有判断用户输入的数据,就带入数据库了,就使数据库存在安全隐患。

SQL注入漏洞能导致用户信息泄露,被不法分子出售、诈骗等,也可能破坏数据、导致数据缺乏可审计性,或者是拒绝服务,有时甚至能导致完全接管主机,危害内网安全。

很多人会诧异这种上个世纪就存在的漏洞现在依然会存在吗?蒲公英告诉你,是的。

大家可以看下面几个案例:

1号社区App存在SQL注入漏洞

URL:
http://eshop.yihao01.com/basedata/api/getUnitListByCity?cityCode=610900&sign=50E09B39C916C1C3A06506EBDBBC0427&v=2.4.0&pageNumber=0&pageSize=10&ttid=1

存在注入的参数:cityCode Number pageSize

获取权限后直接进入了管理后台

米途App某处存在SQL注入漏洞

URL:
http://wx.miot.cn/i-21898?from=timeline&innid=21898&isappinstalled=0
存在漏洞的参数:innid

用户信息泄露

以及以下几个案例:

好贷网App存在SQL注入漏洞
http://www.myhack58.com/Article/html/2/5/2015/69301.htm
蜂鸟网官方App存在SQL注入漏洞(跨67个库+附绕过验证脚本)
http://www.2cto.com/Article/201601/465166.html
漫画岛安卓App服务器SQL注入可致用户数据、服务器信息泄露
http://www.2cto.com/Article/201603/492696.html

文件上传漏洞

现在很多APP都有文件上传功能,比如用户头像上传、图片上传、文档上传等,程序的上传功能没严格限制文件后缀名以及文件类型,攻击者就可以上传木马文件来达到目的。

而上传了木马文件后,获取网站管理权限,查看、编辑任意文件,获取数据库数据,甚至获取主机权限对黑客们来说就是轻而易举的事情了。

以下案例均为文件上传漏洞:

某App任意文件上传漏洞,可被上传木马,最终获得网站权限

检测点:个人主页背景图片更换、拼颜值、头像更换

无线苏州APP任意文件上传(影响59万用户信息)

头像上传处

获取了后台数据

由此看来,服务端的漏洞确实要比APP端更容易被发现、危害且不亚于APP端,本周的介绍就到这里,下周将会为大家带来越权漏洞与XSS漏洞的介绍。