序号 | 测试项 | 描述 |
1 | SQL注入检测 | 数据库注入测试 |
2 | 文件类型注入 | xml注入、文件数据库注入测试 |
3 | 账户授权测试 | 暴力猜接、越权访问、伪造登陆信息、用户数据存储等 |
4 | 数据传输测试 | 传输的数据是否有敏感信息,包括cookie存储、http请求和响应 |
5 | 信息泄漏测试 | 用户是否可以访问到备份文件、配置文件、压缩包以及系统出错信息等 |
6 | 目录遍历测试 | 用户是否可以直接列出web目录,是否可以通过web文件的功能进行越权的文件目录遍历 |
7 | 文件包含测试 | 任意文件包含 |
8 | 文件上传测试 | 字符串截断上传、文件类型欺骗上传、web service解析漏洞、文件上传逻辑漏洞 |
9 | 第三方组件测试 | 开源的第三方组件,版本和配置上出现常见的漏洞 |
10 | 业务逻辑测试 | 对存在数据修改的地方,进行业务逻辑测试。比如商品价格篡改等 |
11 | flash封包测试 | 对相服务器有socket通信的flash进行封包测试,包括数据包重用、长字符、特殊字符、越权发包、欺骗发包 |
12 | 代码审计 | 对程序源代码进行白盒测试,审计源代码。SDL基本覆盖。 |
13 | 常规数据非法输入 | 对输入的数据进行验证,包括长度、空值、数据类型错误 |
14 | 常规数据非法输出 | 对输出的数据进行验证.包括长度、空值、数据类型错误 |
15 | 拒绝服务 | 大量数据库或者脚本运算的页面,比如数据库用到了like '%a%',脚本进行大量运算 |
16 | 配置信息检查 | 包括日志、上传文件、系统等的配置文件是否出现问题 |
17 | xss跨站漏洞 | 验证特殊脚本字符、js编码、html编码 |
18 | 失效的身份认证和会话管理 | 确认用户的身份、身份验证和会话管理有效性 |
19 | XML 外部实体(XXE) | 攻击者能够利用XML缺陷成功访问Web页面或者Web服务,特别是基于Web服务的SOAP。 |
20 | 会话固定 | 以攻击者伪造的会话与web server建连。 |
21 | 常见反序列化 | java反序列化等 |
22 | 绕过测试 | 包括规则绕过、编码绕过、acl绕过等 |
常见的web安全测试项
最新推荐文章于 2024-07-23 20:24:08 发布