Web安全測試檢查單

阿新 • • 發佈：2018-12-13

是否會話 order 頁面 str 驗證短信驗證碼 center click

大類	細項	標記	備註
上傳功能	繞過文件上傳檢查功能	P1	功能測試階段覆蓋
上傳功能	上傳文件大小和次數限制	P1
註冊功能	註冊請求是否安全傳輸	P1	功能測試階段覆蓋
	註冊時密碼復雜度是否後臺檢驗	P1	功能測試階段覆蓋
	激活鏈接測試	P1	功能測試階段覆蓋
	重復註冊	P1
	批量註冊問題	P1
登錄功能	登錄請求是否安全傳輸	P1	功能測試階段覆蓋
	會話固定	P1	功能測試階段覆蓋
	關鍵Cookie是否HttpOnly	P1	功能測試階段覆蓋
	登錄請求錯誤次數限制	P1	功能測試階段覆蓋
	“記住我”功能	P1	功能測試階段覆蓋
	本地存儲敏感信息	P1	功能測試階段覆蓋
驗證碼功能	驗證碼的一次性	P1
	驗證碼繞過	P1
	短信驗證碼轟炸	P1	功能測試階段覆蓋
忘記密碼功能	通過手機號找回	P1
忘記密碼功能	通過郵箱找回	P1
密碼安全性要求	密碼復雜度要求	P1	功能測試階段覆蓋
密碼安全性要求	密碼保存要求	P1	功能測試階段覆蓋
橫向越權測試	請測試所有接口越權情況	P1	功能測試階段覆蓋
縱向越權測試	請測試所有接口越權情況	P1	功能測試階段覆蓋
XSS測試	反射型XSS	P1
	存儲型XSS	P1
	DOM型XSS	P1
SQL註入測試	SQL註入測試	P1
寫接口限制測試	寫接口限制測試	P1
CSRF測試	CSRF測試	P1	功能測試階段覆蓋
敏感信息泄露	SVN信息泄露	P1
敏感信息泄露	頁面泄露敏感信息	P1
目錄遍歷	目錄遍歷	P1
CRLF測試	CRLF測試	P1
任意文件讀取	任意文件讀取	P1
URL重定向測試	URL重定向測試	P2
點擊劫持ClickJacking	頁面點擊劫持	P2
XXE	XXE測試	P1
SSRF	SSRF	P1
CORS問題	CORS問題	P2

Web安全測試檢查單

是否會話 order 頁面 str 驗證短信驗證碼 center click 大類細項標記備註上傳功能繞過文件上傳檢查功能 P1 功能測試階段覆蓋上傳文件大小和次數限制 P1 註冊功能

11個免費的Web安全測試工具

漏洞 fis 速度程序 car exploit spark fiddler 專業 1.Netsparker Community Edition(Windows) 這個程序可以檢測SQL註入和跨頁腳本事件。當檢測完成之後它會給你提供一些解決方案。 2.Websecurify

web安全測試排查

漏洞排查思路： 1.上傳漏洞如果看到:選擇你要上傳的檔案 [重新上傳]或者出現“請登陸後使用”，80%就有漏洞了！有時上傳不一定會成功,這是因為Cookies不一樣.我們就要用WSockExpert取得Cookies.再用DOMAIN、中國菜刀上傳.　 2.注入漏洞字元過濾不嚴

web安全測試之 xss攻擊

一、背景知識 1、什麼是 XSS 攻擊？ XSS 攻擊：跨站指令碼攻擊（Cross Site Scripting），為不和層疊樣式表(Cascading Style Sheets,CSS)的縮寫混淆。故將跨站指令碼攻擊縮寫為 XSS。跨站指令碼攻擊，是 W

Web安全測試之跨站請求偽造（CSRF）

跨站請求偽造（即CSRF）被Web安全界稱為諸多漏洞中“沉睡的巨人”，其威脅程度由此“美譽”便可見一斑。本文將簡單介紹該漏洞，並詳細說明造成這種漏洞的原因所在，以及針對該漏洞的黑盒測試與灰盒子測試具體方法和示例，最後提提了一些防範該攻擊的建議，希望本文對讀者的安全測試

Web安全測試之XSS

SS 全稱(Cross Site Scripting) 跨站指令碼攻擊，是Web程式中最常見的漏洞。指攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當用戶瀏覽此網頁時，指令碼就會在使用者的瀏覽器上執行，從而達到攻擊者的目的. 比如獲取使用者的Coo

Web安全測試（文末送電子書）

今天小編找到了一本web安全測試的電子書，還不錯。有喜歡看電子書的同學可以下載一下。看文末獲取電子書方式.來看看今天的文章吧常見問題: 　　1.XSS(CrossSite Script)跨站指令碼攻擊　XSS(CrossSite Script)跨站指令碼攻擊。它指的是惡意

Web安全測試常用工具

Pornzilla是一套有用的FireFox小書籤和擴充套件，它提供了大量方便的、有助於web應用安全測試的工具。如RefSpoof修改HTTP Referer資訊，或許能繞過不安全的登入機制；Digger是一個目錄遍歷工具；Spiderzilla是網站爬蟲工具；Increment和Decrement篡改U

Web安全測試之——XSS漏洞

一、概念 XSS攻擊：跨站指令碼攻擊(Cross Site Scripting)，它是Web程式中最常見的漏洞。 XSS攻擊是指攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當用戶瀏覽此網頁時，指令碼就會在使用者的瀏覽器上執行，從而達到攻擊者的目的。比如獲取

菜鳥淺談——web安全測試

本文僅為小白瞭解安全測試提供幫助一：安全測試注意事項 1）要注意白帽子與黑客之間的區別 2）在挖漏洞掙外快時，注意不要使用安全掃描或暴力破解軟體對上線網站進行掃描或攻擊。不要對上線網站造成破壞，不要去獲取網站的資料庫資訊等。否則等待的不是money，而

2017秋季賽Web安全測試訓練賽wp【安恆】

0x00編輯器的鍋看到題目名字就差不多猜到了，swp檔案洩露，http://114.55.36.69:20380/.login.php.swp，下載拿到swp檔案，開啟虛擬機器，啟動kali，利用命令列執行vim -r login.php.swp，修復看到原始碼，很明顯的

web安全測試理論知識

網際網路上的攻擊大都將web站點作為目標。本文講解具體有哪些攻擊web站點的手段，以及攻擊會造成怎樣的影響~~ 一、因輸出值轉義不完全引發的安全漏洞 1. 跨站指令碼攻擊（Cross-Site Scripting，XSS）指通過存

WEB安全測試的型別

1.跨站指令碼（XSS）　　XSS又叫CSS（CROSS SET SCRIPT），跨站指令碼攻擊。它指的是惡意攻擊者往WEB頁面裡插入惡意的html程式碼，當用戶瀏覽該頁面時，嵌入其中的html程式碼會被執行，從而達到惡意使用者的特殊目的；（釣魚、盜取coo

Web安全測試中常見邏輯漏洞解析（實戰篇）

*文章原創作者： [email protected]漏洞盒子安全研究團隊，轉載請註明來自FreeBuf黑客與極客（FreeBuf.COM）邏輯漏洞挖掘一直是安全測試中“經久不衰”的話題。相比SQL注入、XSS漏洞等傳統安全漏洞，現在的攻擊者更傾向於利用業務

web安全測試必須注意的五個方面

隨著網際網路的飛速發展，web應用在軟體開發中所扮演的角色變得越來越重要，同時，web應用遭受著格外多的安全攻擊，其原因在於，現在的網站以及在網站上執行的應用在某種意義上來說，它是所有公司或者組織的虛擬正門，所以比較容易遭受到攻擊，存在安全隱患。今天主要給大家分享下有關安全測試的一些知識點以及注意事項。

13個web安全-python網絡測試工具+白帽黑客必備，大神整理，小白可以先收藏起來

Python 爬蟲黑客快速入門進階 Python有很多完善可用的庫，這裏面就包含滲透測試工具，所以廣大白帽黑客大多都使用Python語言，這樣更有利於利用Python提供的這些庫參與漏洞研究、逆向工程和滲透等工作。本文列出13個python網絡測試工具，共大家參考學習。1、Scapy

網路安全、Web安全、滲透測試之筆經面經總結（二）

轉載地址：https://www.cnblogs.com/christychang/p/6593163.html 這篇文章涉及的知識點有如下幾方面： 1.SSL Strip(SSp)攻擊到底是什麼？ 2.中間人攻擊——ARP欺騙的原理、實戰及防禦 3會話劫持原理 4.CC攻擊 5．

網路安全、Web安全、滲透測試之筆經面經總結（一）

轉載地址：https://www.cnblogs.com/christychang/p/6041012.html 本篇文章總結涉及以下幾個方面：對稱加密非對稱加密？什麼是同源策略？ cookie存在哪裡？可以開啟嗎 xss如何盜取cookie？ tcp、udp的區別及tcp三次

【03.Web端XSS安全測試】

XSS 全稱(Cross Site Scripting) 跨站指令碼攻擊，是Web程式中最常見的漏洞。指攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當用戶瀏覽此網頁時，指令碼就會在使用者的瀏覽器上執行，從而達到攻擊者的目的. 比如獲取使用者

web安全/滲透測試--23--XML注入攻擊

1、漏洞描述：可擴充套件標記語言(Extensible Markup Language, XML)，用於標記電子檔案使其具有結構性的標記語言，可以用來標記資料、定義資料型別，是一種允許使用者對自己的標記語言進行定義的源語言。XML是標準通用標記語言(SGML

Web安全測試檢查單

相關推薦