常见网站漏洞checklist

最新推荐文章于 2024-07-16 14:24:03 发布
最新推荐文章于 2024-07-16 14:24:03 发布
阅读量295 收藏 2
点赞数
原文链接:http://www.cnblogs.com/cx59244405/p/10762746.html
版权

0x00、写在前面

在做网站渗透之前除了关注一些通用漏洞,这些漏洞通常能很容易的利用扫描器扫出,被WAF所防护

然而有一些逻辑漏洞WAF和扫描器就无法发现了,就需要人工来测试

根据各行业的特点总结了下网站的常见漏洞checklist

0x01、互联网行业

 

0x02、P2P金融行业

 

0x03、电商行业

 

0x04、政务行业

 

转载于:https://www.cnblogs.com/cx59244405/p/10762746.html

weixin_30877755
关注
web安全渗透漏洞检测表
魔都虫师的博客
08-18 444
web漏洞检测表 编号 检查内容描述 1 收集web相关信息,开放端口信息,服务信息等 2 严禁增/删/改防火墙iptables,私自开通高危端口 3 检查Flash跨域策略文件crossdomain.xml是否合法 4 检查是否有CSRF漏洞,根据系统条件进行检测 5 信息泄露漏洞安全性检查(例如test.cgi、phpinfo.php、info.pho、.svn/entries、HTTP认证泄漏漏洞、管理后台泄漏漏洞、内网信息泄漏漏洞、错误详情信
Magic-CheckList-for-Web-Applications:网络安全检查表(漏洞赏金和渗透测试)
04-14
Web应用程序的Magic CheckList v1.2 :memo: 西班牙语的Web安全清单(Bug赏金和渗透测试的理想“路线图”) 基于和个人贡献 可以导入并与(推荐!) 现在也有英文版本! 请参阅以直接在Notion中获取模板!
checklist——漏洞挖掘 _
最新发布
键盘的起始页
07-16 190
checklist是专门服务于闭关这三个月,主要是记录与漏洞挖掘相关的内容,同时也会把之前收集的与漏洞挖掘相关的内容归类于此,便于学习和查看。
【应用安全】安全测试checklist
Websec
03-20 1393
1、安全测试checklist 安全测试检查清单 项目名称 xxx 迭代名称 xxx 测试时间   测试人员   测试结果 1、本次测试发现xxx个安全漏洞 ,其中x个高危漏洞、x个中危漏洞,x个低危漏洞。 测试内容 序号 类别 测试项 测试描述 是否通过 1 认证鉴权 登录密码是否加密 检验密码字段在传输过程是否使用不可逆的hash算法 不通过、通过、不适用 2 是
【渗透测试笔记】之【手动漏洞挖掘一】
AA8j的博客
07-08 797
WIndows默认安装漏洞 利用php配置漏洞,执行php代码进而执行系统命令 (可利用Burpsuite发送POST) POST http://192.168.2.100/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1 Host: 192.168.2.100 <?php passthru('id'); die(); ?> ...
渗透红线Checklist
Vdieoo的博客
11-29 655
很尬的事,手速过快把Pentest打成Pnetest,不过没什么影响,重点是内容的真实性、可用性。 多人协作的渗透项目中,往往每个人擅长点和经验都不同,那么团队有一个人误操作很有可能会带来很严重的后果,导致入口打点被发现,或者内网渗透被监测到。 这份Checklist需要遇到实战足够的坑才能形成这份文档,所以发起邀请渗透师同共完成"渗透操作红线列表"。 在Issues提交,经过审核有价值的,才会添加进来。 工具篇 WebShell不能使用普通一句话木马,连接端使用加密流量,不使用普通中国菜刀。 不使.
安全网站策略之_checklist
04-05
在网络安全日益重要的今天,"安全网站策略之_checklist"是一个非常关键的话题。这份资源,链接为,提供了一份详细的网站安全检查清单,旨在帮助网站管理员和开发者确保他们的在线资产免受潜在威胁。标签"源码"和...
金融科技SDL 安全设计checklist
04-11
常见的危险字符包括尖括号、引号、单双引号、括号和反斜杠等。对于一些标准验证规则无法涵盖的输入,还需要进行单独验证,如空字节、换行符、路径替代字符等。 2. 输出编码 无论是哪种输出编码方法,都应采用一个...
漏洞挖掘思维培养-大咖Vulkey_Chen-漏洞银行大咖面对面.pptx
08-24
在讲解过程中,Vulkey_Chen首先剖析了新手在学习漏洞挖掘时常见的思维误区和问题。新手常常过于急躁,期望迅速掌握技能,而忽视了基础知识的重要性。他们可能对“安全”有特殊化的理解,认为它是孤立的知识点,而非...
需求文档要点Checklist.docx
05-07
本文将对需求文档要点 Checklist 进行详细的解释和分析,旨在帮助产品经理和开发团队更好地编写需求文档,避免常见的错误和漏洞。 一、背景目的 PRD 的必备元素是整个需求的立足点。背景目的部分薄弱的 PRD,一般...
Coding Review Checklist(代码审查清单).pdf
01-30
每个条目都涵盖了重要的方面,旨在帮助开发团队避免常见的错误和漏洞。同时,这也是一份持续迭代和完善的文档,随着项目的发展和团队经验的积累,可以不断对其进行更新和完善。遵循这份清单,不仅可以提高代码的质量...
Android APP渗透测试方法checklist
04-23
Android APP渗透测试方法checklist
渗透测试环境搭建常用命令方法checklist(iOS&&Android).xlsx
04-02
渗透测试环境搭建常用命令方法checklist(iOS&&Android)。 对于入门选手很好的参考价值。
安全加固-checklist
01-08
信息安全加固的checklist,从绿盟的基线拿出来的,当然有些是错误的、还有些不准确等等,作为参考还是不错的。
渗透技巧Checklist
m0_48368237的博客
02-09 725
渗透技巧Checklist EvilAnne 渗透测试教程 2020-12-28 多人协作的渗透项目中,往往每个人擅长点和经验都不同,那么团队有一个人误操作很有可能会带来很严重的后果,导致入口打点被发现,或者内网渗透被监测到 工具篇 WebShell不能使用普通一句话木马,连接端使用加密流量,不使用普通中国菜刀。 不使用默认冰蝎,已被安全厂商能够识别流量(使用默认,入口打点这么辛苦,连接一小时就被发现,并被清除封堵) 上传工具到服务器中,不能使用默认名称,例如,frp、nc、lcx等。 使用sqlmap
干货|最全Web 渗透测试信息搜集-CheckList
leah126的博客
12-03 1174
这篇文章是21年中旬记录的,平安夜p牛的直播中也谈到,对于渗透测试来说最好有一个checklist,为了避免忘记测试某一部分的内容而错过一些重要信息,同时有了checklist也容易利用自己喜欢的语言实现自动化,突然想起了这篇信息搜集相关的文章所以就分享出来。为了保证网络的稳定和快速传输,网站服务商会在网络的不同位置设置节点服务器,通过CDN(Content Delivery Network,内容分发网络)技术,将网络请求分发到最优的节点服务器上面。如果网站开启了CDN加速,就无法通过网站的域名信息获取真实
渗透测试-信息收集的常规步骤-checklist
b1ackc4t的博客
03-17 514
信息收集的常规步骤、checklist
【转】渗透测试环境搭建常用命令方法checklist(iOS&&Android)
06-19 189
渗透测试环境搭建(iOS&Android) mobile渗透测试常用命令方法(iOS&Android) 转载于:https://my....
web开发者的checklist
weixin_30498921的博客
01-21 233
转一个Web Developer Checklist 转载于:https://www.cnblogs.com/fresky/archive/2013/01/21/2869811.html
SQL编写技巧与常见问题Checklist解析
文档通过示例代码来阐述了一些常见问题和最佳实践。" 在编写SQL查询时,确保遵循以下关键点以提高性能和代码质量: 1. **避免全表扫描**:创建合适的索引可以显著提升查询速度,特别是在对大表进行操作时。例如,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值