【安全】WEB安全测试检查清单
WEB安全测试检查清单 | |||
测试名称 | 测试内容 | 说明 | 测试结果 |
客户端安全测试 | XSS测试 | 用户输入畸形脚本及标签过滤转义 | |
CSRF测试 | 验证服务器是否添加会话TOKEN及验证referer | ||
JSON挟持测试 | 检测json格式变化及是否验证referer | ||
XSIO测试 | 测试是否限制图片postion为absolute | ||
基础认证钓鱼测试 | 检查是否可以修改img标签的src属性构造基础钓鱼页面 | ||
URL跳转测试 | 检测用户能否修改应用的url参数使页面跳转到指定页面 | ||
Flash安全测试(客户端) | 测试Flash配置中allowscriptaccess、allowNetworking是否合理配置 | ||
cookie安全测试 | 测试重点cookie是否使用了HttpOnly | ||
CRLF测试 | 检查用户输入在HTTP头中返回,并且没有过滤%0a%0d | ||
服务端安全测试 | SQL注入测试 | 在数据库交互操作的输入点,输入sql语句测试是否可以执行 | |
上传漏洞测试 | 在上传功能点,测试服务端是否对上传文件类型进行有效限制 | ||
文件下载安全测试 | 在文件下载或者读取功能上,测试功能设计是否合理,是否文件名称和路径用户可控 | ||
HTTP头测试 | HTTP头代理伪造、HTTP头PUT请求等畸形数据测试 | ||
远程代码执行测试 | 提交特定的代码,测试代码是否会被应用执行 | ||
路径遍历测试 | 访问各个路径,测试是否可以显示路径下文件信息 | ||
垂直权限测试 | 检测普通用户是否能进入当前用户权限不能进入的功能,执行高权限操作 | ||
Flash安全测试(服务端) | 检查配置文件crossdomain.xml是否配置合理 | ||
水平权限测试 | 测试用户是否只能操作自己当前用户的资源,是否能够操作其他相同权限用户的资源 | ||
SSRF漏洞 | 测试相关服务是否存在对内部网络探测 | ||
框架安全测试 | struts框架安全测试 | 针对struts2表达式代码执行漏洞进行测试 | |
springMVC框架安全测试 | 针对springMVC标签多个代码执行漏洞进行测试 | ||
openssl安全测试 | 针对openssl“心脏出血”等漏洞进行测试 | ||
逻辑安全测试 | 登录逻辑安全测试 | 主要测试登录验证逻辑是否可以绕过,是否存在验证码、是否可以撞库和暴力破解 | |
修改密码逻辑安全测试 | 针对修改密码逻辑顺序绕过问题测试,针对修改密码中短信、邮件发送逻辑和其中验证码逻辑做相关测试 | ||
验证码逻辑测试 | 对验证码复杂度和验证码验证顺序逻辑、验证码验证重放攻击做安全测试 | ||
认证模块测试 | 对手机短信、ca证书等强认证模块的绕过测试 |
【安全】WEB安全测试检查清单相关推荐
- 干货:Web测试检查清单
1.通用 1.1.数据攻击类型 1.路径.文件攻击 长文件名(超过 255 字符的文件名): 文件名中的特殊字符(比如空格 * ? / \ | < > , . ( ) [ ] { } ; ...
- Web开发者必备:Web应用检查清单
本文由 伯乐在线 - 埃姆杰 翻译自 Ata Sasmaz.欢迎加入技术翻译小组.转载请参见文章末尾处的要求. [伯乐在线导读]:想做一个高质量的Web应用,前前后后要做的事情非常多.国外开发者 At ...
- web测试bug清单
Web网页测试的核心是功能测试,功能测试占用了测试人员大量的时间.很多bug是多次出现,我们能不能避免同样的错误少出现呢? 我梳理了几种常见的bug.开发人员可以对照bug修改自己的代码.测试人员设计 ...
- 所有机器学习项目都适用的检查清单
作者:Harshit Tyagi 编译:ronghuaiyang 导读 构建端到端机器学习项目的任务检查清单. 我正在创建一系列[有价值的项目](https://towardsdatascience. ...
- 一个智能的 Web 界面测试系统
一个智能的 Web 界面测试系统 2011年01月05日 本文内容包括: Web2.0 技术使 Web 界面更加丰富多彩,使信息交流更加灵活,同时也使得相关的 Web 技术测试需求越来越多.那么,如何 ...
- 如何编写干净流畅的Web API测试
前言 当我们为Web API编写测试用例时,代码基本是这样的: public class UnitTest1 {private readonly TestServer _server;private ...
- 使用Arquillian,Docker和Selenium使Web UI测试再次变得出色(第1部分)
问题简介 大多数时候,当您需要为Web UI编写功能测试/端到端测试时,您最终会使用Selenium ,它可以被视为Java世界中用于Web UI测试的事实上的工具. 我确定您已经将其用于此类测试. ...
- web可用性测试_Web开发人员和设计人员的最佳可用性测试工具
web可用性测试 UX design is incomplete without user testing, which is an integral part of the process. It' ...
- 网站安全检测 Web 安全测试工具
随着 Web 应用越来越广泛,Web 安全威胁日益凸显.黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重 ...
最新文章
- /dev/sda2 is mounted; will not make a filesystem here!
- python3.7安装教程linux_linux系统安装Python 3.7.x
- FTP匿名用户的配置
- Spring 使用介绍(十二)—— Spring Task
- 脚本进阶,函数调用实例练习
- webpack 异步加载配置文件_详解webpack异步加载业务模块
- 创建存储过程时出现的This function has none of DETERMINISTIC, NO SQL解决办法
- python for symbian6
- 解决 安装或卸载软件时报错Error 1001 的问题
- Flutter打包apk中的一些巨坑
- Xcode 11.7(12.4)/13.2的signing和sandbox配置截图对比
- java中加权滤波怎么用_方向加权中值滤波算法-The Directional Medial Filtering with Weights...
- 百度地图ipa包使用的Framework解读
- linux嵌入式做智能家居,嵌入式系统在智能家居中的应用
- win10下ipv6安装与设置
- U盘插入后只显示安全删除硬件问题
- 【晓风残月】ASP.NET DEMO 16: 通过GridView布局实现的多行批量更新
- 观察者模式-百度摇号短信提醒举例说明
- Java多线程篇--线程的等待通知
- GIS应用技巧之环形地图制作
热门文章
- 每天喝一杯蒲公英茶你会有什么收获?
- LXC共享目录添加与删除
- c++ ofstream 文件不存在_C++文件读写详解(ofstream,ifstream,fstream)
- Topaz Gigapixel AI 5.3.2汉化版|AI人工智能无损放大插件Topaz Gigapixel AI中文版
- Linux 常用命令及详细使用方法
- asp+access返回json数据+layui select下拉菜单联动展示实例
- 大数据技术专业实习实训总结
- 直播带货之——薇娅的女人用户群运营
- 硅谷大佬:我为什么要逃离谷歌?
- vue项目px转vw