在IOS App渗透测试中，整个互联网上相关的安全文章很少。前几天，某客户App数据被篡改，导致用户随意提现、随意取钱、转账，给平台运营造成了很大的经济损失。通过朋友的介绍，我们找到了我们的SINE安全公司，寻求安全解决方案，防止App被篡改和攻击。针对这种情况，我们立即成立了安全应急小组，对客户的App和服务器进行全面的安全渗透。

首先，我们需要知道客户的IOSApp应用程序使用什么架构。经过我们的安全工程师的详细检查和代码分析，我们使用网站语言开发，pHp mysql数据库VUE组合开发，服务器系统是Linuxcentos版本。

我们设置了渗透测试环境，下载了客户最新的App并应用到手机上，开放端口8098作为代理端口。该应用的数据被捕获和拦截。打开App后，它闪了回来。通过捕获包获得的客户端应用程序使用了代理检测机制。手机使用代理访问时，会自动判断是否是使用的代理。如果是，它将返回一个错误值，并强制该应用退出并切断与该应用的所有网络连接。因此，对于我们的正弦安全技术来说，绕过它非常简单。代码分析通过对IpA包进行反编译，追踪App代理检测的源代码，单独设置一段代码，当值判断为1时，可以直接绕过。我们直接HOOK代码，绕过代理检测机制。

接下来，我们的SINE安全工程师对客户App的正常功能进行了全面的渗透测试服务，如用户注册、用户密码检索、登录、用户留言、用户头像上传、货币充取款、二次密码等。并发现恶意的XSS跨站代码可以写入后端的用户消息中。当用户在App将消息数据pOST提交给后台数据时，后台管理员查看用户的消息时，会截取App管理员的cookies值和后台登录地址。攻击者利用此XSS漏洞在后台获得管理员权限。以前篡改成员数据等安全问题就是由这个漏洞引起的。客户说后台没有记录一些修改成员的操作日志。通常，管理员在后台设置成员操作时，后台会记录操作日志。通过客户的这些反馈，我们继续在App上进行渗透测试，这是我们的SINE安全部门所期望的。后台有上传图片的功能。我们截取数据包，将上传的文件类型修改为pHp后缀名称，直接pOST数据，直接绕过代码检测，将pHp脚本文件上传到后台的图片目录。

上传网站木马的后门也叫webshell。客户网站后台存在文件上传漏洞，可以上传任何格式的文件。我们登录客户的服务器对nginx的日志进行分析处理，发现攻击者的踪迹。12月20日晚，XSS漏洞获得后台许可，通过文件上传漏洞上传webshell。App的数据库配置文件由webshell获取，成员数据由webshell内置的mysql连接功能直接修改。至此，客户会员数据被篡改的问题得到圆满解决。我们对其他功能进行了渗透测试，发现用户密码检索功能存在逻辑漏洞，可以绕过验证码直接修改任意成员账号的密码。

本次App渗透测试共发现三个漏洞，包括XSS跨站点漏洞、文件上传漏洞和用户密码检索逻辑漏洞。这些漏洞是我们安全领域的高风险漏洞，会对App、网站和服务器产生重大影响。不容忽视。App是安全的，这也给用户带来了数据安全。只有用户安全了，才能带来双赢。如果不懂渗透测试，也可以找专业的网站安全公司和渗透测试公司帮你测试。