常見的web安全測試項

序號	測試項	描述
1	SQL注入檢測	數據庫注入測試
2	文件類型注入	xml注入、文件數據庫注入測試
3	賬戶授權測試	暴力猜接、越權訪問、僞造登陸信息、用戶數據存儲等
4	數據傳輸測試	傳輸的數據是否有敏感信息，包括cookie存儲、http請求和響應
5	信息泄漏測試	用戶是否可以訪問到備份文件、配置文件、壓縮包以及系統出錯信息等
6	目錄遍歷測試	用戶是否可以直接列出web目錄，是否可以通過web文件的功能進行越權的文件目錄遍歷
7	文件包含測試	任意文件包含
8	文件上傳測試	字符串截斷上傳、文件類型欺騙上傳、web service解析漏洞、文件上傳邏輯漏洞
9	第三方組件測試	開源的第三方組件，版本和配置上出現常見的漏洞
10	業務邏輯測試	對存在數據修改的地方，進行業務邏輯測試。比如商品價格篡改等
11	flash封包測試	對相服務器有socket通信的flash進行封包測試，包括數據包重用、長字符、特殊字符、越權發包、欺騙發包
12	代碼審計	對程序源代碼進行白盒測試，審計源代碼。SDL基本覆蓋。
13	常規數據非法輸入	對輸入的數據進行驗證，包括長度、空值、數據類型錯誤
14	常規數據非法輸出	對輸出的數據進行驗證.包括長度、空值、數據類型錯誤
15	拒絕服務	大量數據庫或者腳本運算的頁面，比如數據庫用到了like '%a%'，腳本進行大量運算
16	配置信息檢查	包括日誌、上傳文件、系統等的配置文件是否出現問題
17	xss跨站漏洞	驗證特殊腳本字符、js編碼、html編碼
18	失效的身份認證和會話管理	確認用戶的身份、身份驗證和會話管理有效性
19	XML 外部實體(XXE)	攻擊者能夠利用XML缺陷成功訪問Web頁面或者Web服務，特別是基於Web服務的SOAP。
20	會話固定	以攻擊者僞造的會話與web server建連。
21	常見反序列化	java反序列化等
22	繞過測試	包括規則繞過、編碼繞過、acl繞過等