序號 |
測試項 |
描述 |
1 |
SQL注入檢測 |
數據庫注入測試 |
2 |
文件類型注入 |
xml注入、文件數據庫注入測試 |
3 |
賬戶授權測試 |
暴力猜接、越權訪問、僞造登陸信息、用戶數據存儲等 |
4 |
數據傳輸測試 |
傳輸的數據是否有敏感信息,包括cookie存儲、http請求和響應 |
5 |
信息泄漏測試 |
用戶是否可以訪問到備份文件、配置文件、壓縮包以及系統出錯信息等 |
6 |
目錄遍歷測試 |
用戶是否可以直接列出web目錄,是否可以通過web文件的功能進行越權的文件目錄遍歷 |
7 |
文件包含測試 |
任意文件包含 |
8 |
文件上傳測試 |
字符串截斷上傳、文件類型欺騙上傳、web service解析漏洞、文件上傳邏輯漏洞 |
9 |
第三方組件測試 |
開源的第三方組件,版本和配置上出現常見的漏洞 |
10 |
業務邏輯測試 |
對存在數據修改的地方,進行業務邏輯測試。比如商品價格篡改等 |
11 |
flash封包測試 |
對相服務器有socket通信的flash進行封包測試,包括數據包重用、長字符、特殊字符、越權發包、欺騙發包 |
12 |
代碼審計 |
對程序源代碼進行白盒測試,審計源代碼。SDL基本覆蓋。 |
13 |
常規數據非法輸入 |
對輸入的數據進行驗證,包括長度、空值、數據類型錯誤 |
14 |
常規數據非法輸出 |
對輸出的數據進行驗證.包括長度、空值、數據類型錯誤 |
15 |
拒絕服務 |
大量數據庫或者腳本運算的頁面,比如數據庫用到了like '%a%',腳本進行大量運算 |
16 |
配置信息檢查 |
包括日誌、上傳文件、系統等的配置文件是否出現問題 |
17 |
xss跨站漏洞 |
驗證特殊腳本字符、js編碼、html編碼 |
18 |
失效的身份認證和會話管理 |
確認用戶的身份、身份驗證和會話管理有效性 |
19 |
XML 外部實體(XXE) |
攻擊者能夠利用XML缺陷成功訪問Web頁面或者Web服務,特別是基於Web服務的SOAP。 |
20 | 會話固定 | 以攻擊者僞造的會話與web server建連。 |
21 | 常見反序列化 | java反序列化等 |
22 | 繞過測試 | 包括規則繞過、編碼繞過、acl繞過等 |
常見的web安全測試項
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.