序
号
测试项描述
2⽂件类型注⼊xml注⼊、⽂件数据库注⼊测试
3账户授权测试暴⼒猜接、越权访问、伪造登陆信息、⽤户数据存储等 4数据传输测试传输的数据是否有敏感信息,包括cookie存储、http请求和响应 5信息泄漏测试⽤户是否可以访问到备份⽂件、配置⽂件、压缩包以及系统出错信息等
6⽬录遍历测试⽤户是否可以直接列出web⽬录,是否可以通过web⽂件的功能进⾏越权的⽂件⽬录遍历7⽂件包含测试任意⽂件包含
8⽂件上传测试字符串截断上传、⽂件类型欺骗上传、web service解析漏洞、⽂件上传逻辑漏洞 9第三⽅组件测试开源的第三⽅组件,版本和配置上出现常见的漏洞
10业务逻辑测试对存在数据修改的地⽅,进⾏业务逻辑测试。⽐如商品价格篡改等
11flash封包测试对相服务器有socket通信的flash进⾏封包测试,包括数据包重⽤、长字符、特殊字符、越权发包、欺骗发包
12代码审计对程序源代码进⾏⽩盒测试,审计源代码。SDL基本覆盖。
13常规数据⾮法输⼊对输⼊的数据进⾏验证,包括长度、空值、数据类型错误
14常规数据⾮法输出对输出的数据进⾏验证.包括长度、空值、数据类型错误
15拒绝服务⼤量数据库或者脚本运算的页⾯,⽐如数据库⽤到了like '%a%',脚本进⾏⼤量运算16配置信息检查包括⽇志、上传⽂件、系统等的配置⽂件是否出现问题
17xss跨站漏洞验证特殊脚本字符、js编码、html编码
18失效的⾝份认证和会话管
理
确认⽤户的⾝份、⾝份验证和会话管理有效性
19XML 外部实体(XXE)攻击者能够利⽤XML缺陷成功访问Web页⾯或者Web服务,特别是基于Web服务的SOAP。20会话固定以攻击者伪造的会话与web server建连。
21常见反序列化java反序列化等
22绕过测试包括规则绕过、编码绕过、acl绕过等
