Skip to content

owasp安全测试checklist

信息收集测试

  • 搜索引擎信息收集
  • Web服务器指纹识别
  • Web服务器元文件信息泄漏
  • 枚举Web服务器的应用
  • 注释和元数据信息泄漏
  • 识别应用的入口
  • 映射应用程序的执行路径
  • 识别Web应用框架
  • 识别Web应用程序
  • 映射应用架构

配置管理测试

  • 忘了和基础设施配置测试
  • 应用平台配置测试
  • 敏感信息文件扩展处理测试
  • 对旧文件、备份和未被引用文件的敏感信息的审查
  • 枚举基础设施和应用程序管理界面
  • HTTP方法测试
  • HTTP强制安全传输测试
  • RIA跨域策略测试

身份管理测试

  • 角色定义测试
  • 用户注册流程测试
  • 账户配置过程测试
  • 账户枚举和可猜测的用户账户测试
  • 弱的或未实施的用户策略测试

认证测试

  • 凭证在加密通道中的传输测试
  • 默认用户凭证测试
  • 弱锁定机制测试
  • 认证模式绕过测试
  • 记忆密码功能存在威胁测试
  • 浏览器缓存威胁测试
  • 弱密码策略测试
  • 弱安全问答测试
  • 弱密码的更改或重设功能测试
  • 在辅助信道中较弱认证测试

授权测试

  • 目录遍历/文件包含测试
  • 绕过授权模式测试
  • 权限提升测试
  • 不安全对象引用测试

会话管理测试

  • 会很管理架构绕过测试
  • Cookie属性测试
  • 会话固定测试
  • 会话变量泄漏测试
  • 跨站请求伪造CSRF测试

输入验证测试

  • 反射型跨站脚本测试
  • 存储型跨站脚本测试
  • HTTP方法篡改测试
  • HTTP参数污染测试
  • SQL注入测试
  • LDAP测试
  • ORM注入测试
  • XML注入测试
  • SSI注入测试
  • XPath注入测试
  • IMAP/SMTP注入测试
  • 代码注入测试
  • 命令注入测试
  • 缓冲区溢出测试
  • 潜伏式漏洞测试
  • HTTP拆分/走私测试

错误处理测试

  • 报错信息测试
  • 堆栈轨迹测试

加密体系脆弱性测试

  • SSL/TLS弱加密、传输层协议缺陷测试
  • Padding Oracle攻击测试
  • 通过未加密信道发送敏感数据测试

业务逻辑测试

  • 业务逻辑数据验证测试
  • 伪造请求的测试
  • 完整性检查的测试
  • 处理耗时测试
  • 功能使用次数限制
  • 工作流程逃逸的测试
  • 防御应用程序滥用测试
  • 意外文件类型上传测试
  • 恶意文件上传测试

客户端测试

  • 基于DOM的跨站脚本测试
  • JavaScript执行测试
  • HTML注入测试
  • 客户端URL重定向测试
  • CSS注入测试
  • 客户端资源处理测试
  • 跨域资源共享测试
  • 跨站Flash测试
  • 点击劫持测试
  • WebSocket测试
  • Web消息测试
  • 本地存储测试