测试案例所覆盖业务场景 | 被测功能点 | 基于威胁视角的漏洞分类 | 基于威胁视角的漏洞名称 |
---|---|---|---|
身份鉴别 | 用户认证 | 身份认证失效、敏感信息泄露 | 手势密码测试 |
身份认证失效 | 人脸识别测试 | ||
用户注册 | 权限管理失效 | 权限管理类风险测试 | |
业务逻辑漏洞 | 批量注册类风险测试 | ||
身份认证失效 | 密码强度测试 | ||
敏感信息泄露 | 密码明文传输测试 | ||
密码明文存储测试 | |||
用户名枚举测试 | |||
服务器内部错误测试 | |||
服务器多余回显测试 | |||
输入验证失效 | 文件上传漏洞测试 | ||
用户登录 | 身份认证失效 | 认证模式绕过测试 | |
暴力破解测试 | |||
恶意锁定测试 | |||
敏感信息泄露 | 用户名枚举测试 | ||
密码明文传输测试 | |||
权限管理失效 | 身份信息维护方式测试 | ||
会话管理失效 | 会话固定漏洞测试 | ||
Cookie属性测试 | |||
Cookie字段可预测测试 | |||
会话标识随机性测试 | |||
用户注销 | 会话管理失效 | 会话信息失效测试 | |
会话信息超时测试 | |||
敏感信息泄露 | 会话信息清除测试 | ||
浏览器缓存威胁测试 | |||
身份认证失效 | 异地登录测试 | ||
密码找回 | 敏感信息泄露 | 旧密码发放测试 | |
服务器多余回显测试 | |||
用户名枚举测试 | |||
业务逻辑漏洞 | 工作流程逃逸测试 | ||
权限管理失效 | 身份信息维护方式测试 | ||
短信、语音、邮箱验证码 | 身份认证失效 | 验证码锁定机制测试 | |
验证码绕过测试 | |||
验证码失效测试 | |||
验证码自定义修改测试 | |||
图形验证码 | 身份认证失效 | 验证码绕过测试 | |
验证码失效测试 | |||
验证码随机性测试 | |||
账户管理 | 密码修改 | 身份认证失效 | 密码强度测试 |
验证旧密码测试 | |||
权限管理失效 | 身份信息维护方式测试 | ||
业务逻辑漏洞 | 工作流程逃逸测试 | ||
用户设置 | 权限管理失效 | 身份信息维护方式测试 | |
业务逻辑漏洞 | 设置限制绕过测试 | ||
额度重置测试 | |||
竞争性问题测试 | |||
参数篡改测试 | |||
信息查询 | 信息查询及内容发布 | 权限管理失效、业务逻辑漏洞 | 查询数据遍历测试 |
异常处理错误、会话管理失效 | 第三方接口测试 | ||
转账 | 身份认证失效 | 身份认证缺失测试 | |
业务逻辑漏洞 | 金额篡改测试 | ||
重放攻击测试 | |||
工作流程逃逸测试 | |||
支付 | 业务逻辑漏洞 | 金额篡改测试 | |
数量篡改测试 | |||
币种篡改测试 | |||
运费篡改测试 | |||
优惠券篡改测试 | |||
优惠券遍历测试 | |||
优惠券反复使用测试 | |||
竞争性问题测试 | |||
支付状态篡改测试 | |||
退款流程测试 | |||
退款金额测试 | |||
余额校验测试 | |||
积分兑换比例篡改测试 | |||
分期期次篡改测试 | |||
重放攻击测试 | |||
工作流程逃逸测试 | |||
业务逻辑漏洞、敏感信息泄露 | 订单签名测试 | ||
金融查询类 | 账户信息查询 | 权限管理失效、业务逻辑漏洞 | 查询数据遍历测试 |
异常处理错误、会话管理失效 | 第三方接口测试 | ||
签约解约 | 签约解约 | 业务逻辑漏洞 | 工作流程逃逸测试 |
重放攻击测试 | |||
奖励限制测试 | |||
权限管理失效 | 身份信息维护方式测试 | ||
在线风险评估 | 在线风险评估 | 业务逻辑漏洞 | 工作流程逃逸测试 |
申请 | 申请 | 权限管理失效 | 身份信息维护方式测试 |
会话管理失效 | Cookie字段可预测测试 | ||
变更 | 变更 | 权限管理失效 | 身份信息维护方式测试 |
业务逻辑漏洞 | 解约后变更测试 | ||
参数篡改测试 | |||
申购 | 申购 | 权限管理失效 | 身份信息维护方式测试 |
业务逻辑漏洞 | 竞争性问题测试 | ||
参数篡改测试 | |||
金额篡改测试 | |||
赎回 | 赎回 | 权限管理失效 | 身份信息维护方式测试 |
业务逻辑漏洞 | 竞争性问题测试 | ||
重放攻击测试 | |||
提前赎回测试 | |||
参数篡改测试 | |||
金额篡改测试 | |||
通用型场景 | 输入验证漏洞 | SQL注入 | |
跨站脚本攻击(XSS) | |||
XML注入 | |||
HTTP参数污染 | |||
未验证的重定向和转发 | |||
权限管理失效 | 目录遍历/文件包含 | ||
输入验证失效 | 文件上传漏洞 | ||
会话管理失效 | 跨站请求伪造(CSRF) | ||
客户端漏洞 | 点击劫持 | ||
敏感信息泄露 | 非法字符测试 | ||
非法URL测试 | |||
SSL/TLS安全性测试 | |||
通过未加密信道发送敏感数据测试 | |||
异常处理错误 | 非法滥用测试 | ||
配置管理错误 | 目录浏览漏洞测试 | ||
IIS短文件名漏洞测试 | |||
基础服务弱口令测试 | |||
应用平台配置测试 | |||
HTTP方法测试 |
金融项目安全业务场景
最新推荐文章于 2024-07-25 10:00:08 发布