WEB安全测试手册

最新推荐文章于 2024-05-11 17:04:07 发布
最新推荐文章于 2024-05-11 17:04:07 发布
阅读量646 收藏 1
点赞数
分类专栏: 安全测试工具和靶场实战 文章标签: web安全 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seanyang_/article/details/130932440
版权

概述

Ø          目的

Ø          适用读者

Ø          适用范围

Ø          注意事项

Ø          测试级别说明

Ø          测试过程示意图

1.             服务器信息收集

1.1      运行帐号权限测试

1.2      Web服务器端口扫描

1.3      HTTP方法测试

1.4      HTTP PUT方法测试

1.5      HTTP DELETE方法测试

1.6      HTTP TRACE方法测试

1.7      HTTP MOVE方法测试

1.8      HTTP COPY方法测试

1.9      Web服务器版本信息收集

2.             文件、目录测试

2.1      工具方式的敏感接口遍历

2.2      Robots方式的敏感接口查找

2.3      Web服务器的控制台

2.4      目录列表测试

2.5      文件归档测试

3.             认证测试

3.1      验证码测试

3.2      认证错误提示

3.3      锁定策略测试

3.4      认证绕过测试

3.5      找回密码测试

3.6      修改密码测试

3.7      不安全的数据传输

a)         登录过程信息机密性保护

b)         修改密码信息机密性保护

3.8      强口令策略测试

a)         注册用户强口令策略

b)         修改用户密码强口令策略

c)         找回用户密码强口令策略

4.             会话管理测试

4.1      用户注销登陆的方式测试

4.2      注销时会话信息是否清除测试

4.3      会话超时时间测试

4.4      会话定置(session fixation)测试

4.5      会话标识携带

4.6      会话cookie httponly属性设置

4.7      Cookie敏感信息检测

4.8      Cookie防篡改验证

4.9      Cookie过期时间检测

5.             权限管理测试

5.1      横向越权操作测试

5.2      纵向越权操作测试

6.             文件上传下载测试

6.1      文件上传测试

6.2      文件下载测试

7.             信息泄漏测试

7.1      连接数据库的帐号密码加密测试

7.2      客户端源代码敏感信息测试

7.3      客户端源代码注释测试

7.4      异常处理测试

7.4.1 不存在的URL导致信息泄漏

7.4.2 非法字符导致信息泄漏

7.4.3 逻辑错误信息泄漏

7.5      HappyAxis.jsp页面测试

7.6      Web服务器状态信息测试

7.7      不安全的存储

a)             服务器安全测试

b)             日志文件测试

c)             敏感数据存储测试

7.8      XML外部实体注入

8.             输入数据测试

8.1      输入数据校验测试1(get请求)

8.2      输入数据校验测试2(post请求)

8.3      手工sql注入测试

8.4      自动化工具sql注入测试

8.5      命令执行测试

8.6      重定向测试

9.             跨站脚本攻击(XSS)测试

9.1      GET方式跨站脚本测试

9.2      POST方式跨站脚本测试

9.3      利用工具自动化测试

10.           CSRF跨站请求伪造测试

11.           业务流程(需求)测试

12.           搜索引擎信息收集

11.1   搜索引擎信息发现和侦察

11.2   审核web服务器元文件发现信息泄露

13.           Web Service测试

12.1   自动化测试

12.2   手动测试

14.           DWR(Direct Web Remoting)测试

15.           其它

15.1       日志审计

15.2       class文件反编译测试

测试-东方不败之鸭梨
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web渗透测试全流程操作手册
12-16
Web渗透测试全流程操作手册
Web安全性测试手册
05-23
涵盖Web站点安全性测试的所有测试点:SQL注入 跨站点 cookie攻击等等 当然 你可以把此手册当做安全性测试资料 但也能用来学习web入侵 入门级入侵
[授客]WEB安全测试手册
07-12
[授客]WEB安全测试手册
Web安全测试学习手册
k0sec的安全路
03-24 409
Web安全测试学习手册 0x01 配置管理测试 倾旋的博客 远程代码执行 Slow HTTP DOS 点击劫持:X-Frame-Options头丢失 服务器启用了不安全的HTTP方法 中间件版本信息泄露 服务器端目录遍历 中间件解析漏洞 IIS短文件名漏洞 应用程序未容错 SVN文件泄露 OpenSSL心脏出血漏洞 SSL/TLS “受戒礼”漏洞 SSL POODLE漏洞 分布式部署文件可读 0x...
WEB安全-渗透测试技术手册
m0_61409069的博客
10-03 683
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件地主动利用安全漏洞。区分测试和黑客攻击的区别在于攻击的程度,例如搞垮测试点的服务器等标准,其次要时刻牢记中华人民共和国刑法第285和286条法律。切莫触犯法律红线。
Web安全测试--IBM Security AppScan Standard 工具使用手册
zm13809的博客
04-27 1653
对测试对象发起攻击后,服务器会给出相应的返回,得到返回数据,AppScan会对攻击后的反馈数据与正常的访问返回数据进行对比,在根据自身的规则库进行对比,从而得分析是否存在安全漏洞,并从规则库中申请相应的修改建议。注意:若需要登录,则点击【记录】按钮,默认使用AppScan浏览器打开网址,输入账号密码登录成功后,登录序列就会被记录,由于记录登录需要借助CA认证整数获取,本文以页面非登录验证。使用Appscan扫描建议:如果扫描的系统元素较多,需要合理配置扫描信息,否则可能导致扫描的时间过长,扫描效率过低。
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 7748
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
安全测试目录内容合集
seanyang_的博客
09-03 1827
安全测试基础知识 安全测试-django防御安全策略安全测试网站-DWVA下载安装启动 DVWA-Command Injection DVWA-5.File upload 文件上传漏洞 DVWA-9.Weak Session IDs DVWA-XSS (Stored) DVWA-10.XSS (DOM) DVWA-XSS (Reflected) DVWA-15.Open HTTP Redirect DVWA-Brute Force渗透测试工具ZAP入门教程(1)-安装和快速开始 渗透测试工具ZAP入门教程(
web安全常用测试用例
黑面狐
11-26 3073
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&*
web渗透学习手册
热门推荐
yy
03-04 1万+
依据多年的渗透测试项目经验及个人理解,对漏洞分类
Web安全测试学习手册.pdf
04-01
基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL...
[WEB安全测试].pdf
10-12
这是一本供测试人员使用的手册,讲授安全测试的机制。帮助测试人员发现连安全工具也无法发现的漏洞,本书指导获取安装配置有用且免费的安全测试工具,理解与用户的通信,模拟攻击等等。
Web测试方法大全
fanfangyu的博客
07-22 3250
通常,测试工具在第二次使用的时候,它创造的效益,就足以支付成本。(2)XSS跨网站脚本攻击程序或数据库没有对一些特殊字符进行过滤或处理,导致用户所输入的一些破坏性的脚本语句能够直接写进数据库中,浏览器会直接执行这些脚本语句,破坏网站的正常显示,或网站用户的信息被盗,构造脚本语句时,要保证脚本的完整性。业务流程,一般会涉及到多个模块的数据,所以在对业务流程测试时,首先要保证单个模块功能的正确性,其次就要对各个模块间传递的数据进行测试,这往往是容易出现问题的地方,测试时一定要设计不同的数据进行测试。...
Web安全攻防渗透测试实战指南》PDF
X_Walter的博客
09-29 5169
需要的私聊,仅供交流学习。
Web安全测试学习手册-业务逻辑测试
xiaoi123的博客
04-19 1419
i春秋作家:Vulkey_Chen首先感谢朋友倾璇的邀请 http://payloads.online/archivers/2018-03-21/1 ,参与了<web安全测试学习手册>的相关撰写,目前负责业务逻辑测试这一块的撰写,目前初步已经成型,先发出来让大家看看,欢迎点评,也可以加入我们一起来撰写~业务逻辑测试介绍:这里对Web应用业务逻辑方面的安全缺陷进行介绍和常见案例讲解。任意...
「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
网络安全
05-04 735
ICASI在推进多供应商协调漏洞披露方面处于领先地位,引入了通用漏洞报告框架(Common Vulnerability Reporting Format,CVRF)标准,制定了统一安全事件响应计划(USIRP)的原则,帮助创建了多方漏洞协调和披露指南和实践,并建立了一个成功协调多供应商应对众多安全事件的行业领导者信托小组。为了继续取得这些成功,并确保全球社会更广泛的参与,ICASI(Industry Consortium for Advancement of Security on the Internet
网络安全(黑客)—-2024自学手册
xv7676的博客
05-06 1679
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
亚信安全发布《2024年第一季度网络安全威胁报告》
最新发布
亚信安全官方账号的博客
05-11 139
亚信安全发布《2024年第一季度网络安全威胁报告》。
网络安全的未来:挑战、策略与创新
weixin_51347473的博客
05-07 462
这篇文章提供了对网络安全当前状态的概述,并提出了个人和企业可以采取的措施,同时也探讨了新兴技术在未来网络安全中的潜在作用。网络安全是一个不断发展的领域,需要个人、企业和政府机构的共同努力。通过采取适当的预防措施、投资先进技术和培养安全文化,我们可以提高对网络威胁的抵御能力,保护我们的数字世界。此外,随着远程工作和物联网设备的普及,网络安全的边界将变得更加模糊,需要更加灵活和适应性强的安全解决方案。随着网络攻击的日益频繁和复杂化,如何有效保护数据和隐私成为了一个全球性的挑战。
web安全测试操作指导书
11-18
Web安全测试操作指导书是一份用于指导安全测试人员进行网站或应用程序的安全测试的操作手册。它提供了详细的步骤和方法,以确保测试过程的科学性和有效性。 该指导书的主要内容包括以下几个方面: 1. 预备工作:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值