Skip to content
安全测试checklist
OWASP CheckList
信息收集测试
- 搜索引擎信息收集
- Web服务器指纹识别
- Web服务器元文件信息泄漏
- 枚举Web服务器的应用
- 注释和元数据信息泄漏
- 识别应用的入口
- 映射应用程序的执行路径
- 识别Web应用框架
- 识别Web应用程序
- 映射应用架构
配置管理测试
- 忘了和基础设施配置测试
- 应用平台配置测试
- 敏感信息文件扩展处理测试
- 对旧文件、备份和未被引用文件的敏感信息的审查
- 枚举基础设施和应用程序管理界面
- HTTP方法测试
- HTTP强制安全传输测试
- RIA跨域策略测试
身份管理测试
- 角色定义测试
- 用户注册流程测试
- 账户配置过程测试
- 账户枚举和可猜测的用户账户测试
- 弱的或未实施的用户策略测试
认证测试
- 凭证在加密通道中的传输测试
- 默认用户凭证测试
- 弱锁定机制测试
- 认证模式绕过测试
- 记忆密码功能存在威胁测试
- 浏览器缓存威胁测试
- 弱密码策略测试
- 弱安全问答测试
- 弱密码的更改或重设功能测试
- 在辅助信道中较弱认证测试
授权测试
- 目录遍历/文件包含测试
- 绕过授权模式测试
- 权限提升测试
- 不安全对象引用测试
会话管理测试
- 会很管理架构绕过测试
- Cookie属性测试
- 会话固定测试
- 会话变量泄漏测试
- 跨站请求伪造CSRF测试
输入验证测试
- 反射型跨站脚本测试
- 存储型跨站脚本测试
- HTTP方法篡改测试
- HTTP参数污染测试
- SQL注入测试
- LDAP测试
- ORM注入测试
- XML注入测试
- SSI注入测试
- XPath注入测试
- IMAP/SMTP注入测试
- 代码注入测试
- 命令注入测试
- 缓冲区溢出测试
- 潜伏式漏洞测试
- HTTP拆分/走私测试
错误处理测试
加密体系脆弱性测试
- SSL/TLS弱加密、传输层协议缺陷测试
- Padding Oracle攻击测试
- 通过未加密信道发送敏感数据测试
业务逻辑测试
- 业务逻辑数据验证测试
- 伪造请求的测试
- 完整性检查的测试
- 处理耗时测试
- 功能使用次数限制
- 工作流程逃逸的测试
- 防御应用程序滥用测试
- 意外文件类型上传测试
- 恶意文件上传测试
客户端测试
- 基于DOM的跨站脚本测试
- JavaScript执行测试
- HTML注入测试
- 客户端URL重定向测试
- CSS注入测试
- 客户端资源处理测试
- 跨域资源共享测试
- 跨站Flash测试
- 点击劫持测试
- WebSocket测试
- Web消息测试
- 本地存储测试
参考资料
security-checklist