對 App 滲透測試時要注意哪些問題

對APP滲透測試時要注意以下問題：

• 不安全的中間件：服務器為提供完整的服務所使用的各個中間件，由于未及時更新或未啟用安全的配置可能引發安全漏洞，導致服務器存在遭受攻擊的風險，如IIS文件名解析漏洞、Weblogic反序列化漏洞、SMB遠程命令執行漏洞等，攻擊者可通過這些漏洞獲取服務器敏感信息、執行惡意命令，甚至獲取服務器管理員權限。

• 認證與會話管理：服務器提供的身份認證和會話管理機制存在安全漏洞，如系統關鍵組件或應用使用弱口令，對于高安全級別的系統未采用雙因子認證方式，無防止認證口令或驗證碼暴力破解攻擊的機制，未對SessionID的生成、過期和銷毀進行安全配置等，攻擊者可利用這些漏洞在非授權的情況下登錄系統并執行惡意操作。

• 訪問控制：開發者未對用戶登錄系統后的操作進行進一步的訪問權限控制，服務端對從客戶端收到的對數據進行增、刪、改、查詢等操作的請求未進行鑒權處理，導致攻擊者可執行超出自身賬戶權限的操作。

• 注入：應用運行時可能需要調用一些向前端寫入內容、查詢數據或執行系統命令的函數，如果用戶能控制這些函數的輸入，而開發者未對輸入的內容進行嚴格的過濾，攻擊者可以在前端提交惡意構造的輸入，進行XSS注入、SQL注入、命令注入等攻擊，從而導致服務器重要數據泄露或執行惡意命令。

• 應用層拒絕服務：服務器未對應用的最大連接數或發起請求的IP和頻率進行限制，攻擊者通過并發大量的請求或構造畸形的數據包，如CC攻擊、Slowloris攻擊，造成系統資源耗盡，導致服務器拒絕服務。

• 密碼算法和密鑰管理：應用使用已被證明為不安全的密碼算法對重要數據的傳輸和存儲進行加解密，如使用MD5算法對用戶口令進行存儲，使用DES算法對數據進行加密傳輸，可能導致攻擊者獲取密文后短時間內恢復出明文信息；應用使用不安全的方式進行密鑰管理，如將系統使用的密鑰明文編碼在應用代碼中或在服務器配置文件中明文存儲，將導致攻擊者輕易獲取數據加解密密鑰，進而得到加密數據的明文信息。

回答所涉及的環境：聯想天逸510S、Windows 10。