Web安全测试检查单


大类
细项
标记
备注

上传功能
绕过文件上传检查功能
P1
功能测试阶段覆盖

上传文件大小和次数限制
P1

注册功能
注册请求是否安全传输
P1
功能测试阶段覆盖

注册时密码复杂度是否后台检验
P1
功能测试阶段覆盖

激活链接测试
P1
功能测试阶段覆盖

重复注册
P1

批量注册问题
P1

登录功能
登录请求是否安全传输
P1
功能测试阶段覆盖

会话固定
P1
功能测试阶段覆盖

关键Cookie是否HttpOnly
P1
功能测试阶段覆盖

登录请求错误次数限制
P1
功能测试阶段覆盖

“记住我”功能
P1
功能测试阶段覆盖

本地存储敏感信息
P1
功能测试阶段覆盖

验证码功能
验证码的一次性
P1

验证码绕过
P1

短信验证码轰炸
P1
功能测试阶段覆盖

忘记密码功能
通过手机号找回
P1

通过邮箱找回
P1

密码安全性要求
密码复杂度要求
P1
功能测试阶段覆盖

密码保存要求
P1
功能测试阶段覆盖

横向越权测试
请测试所有接口越权情况
P1
功能测试阶段覆盖

纵向越权测试
请测试所有接口越权情况
P1
功能测试阶段覆盖

XSS测试
反射型XSS
P1

存储型XSS
P1

DOM型XSS
P1

SQL注入测试
SQL注入测试
P1

写接口限制测试
写接口限制测试
P1

CSRF测试
CSRF测试
P1
功能测试阶段覆盖

敏感信息泄露
SVN信息泄露
P1

页面泄露敏感信息
P1

目录遍历
目录遍历
P1

CRLF测试
CRLF测试
P1

任意文件读取
任意文件读取
P1

URL重定向测试
URL重定向测试
P2

点击劫持ClickJacking
页面点击劫持
P2

XXE
XXE测试
P1

SSRF
SSRF
P1

CORS问题
CORS问题
P2

原文地址:https://www.cnblogs.com/FengZiQ/p/10112564.html

时间: 2024-10-15 18:09:04

Web安全测试检查单的相关文章

12个强大的Web服务测试工具

在过去的几年中,web服务或API的普及和使用有所增加. web服务或API是程序或软件组件的集合,可以帮助应用程序进行交互或通过形成其他应用程序或服务器之间的连接执行一些进程/事务处理.基本上有两种类型的web服务——基于互联网协议,REST和SOAP推动数据和信息的通讯. 由于这些web服务暴露于网络并且分布于不同的网络,所以它们很容易受到风险和安全威胁,从而影响基于它们的进程.因此,web服务或API测试非常有必要,可以确保它们执行正确并正确地响应查询. 市场上有不少商业和开源的测试工具可

《Web渗透测试使用kali linux》pdf

下载地址:网盘下载 内容简介 <Web渗透测试:使用Kali Linux>是一本Web渗透测试实践指南,全面讲解如何使用Kali Linux对Web应用进行渗透测试.两位安全领域的专家站在攻击者的角度,一步步介绍了渗透测试基本概念.Kali Linux配置方式,带大家了解如何收集信息并发现攻击目标,然后利用各种漏洞发起攻击,并在此基础之上学会渗透测试,掌握补救易受攻击系统的具体技术.此外,书中还给出了撰写报告的最佳实践,其中一些范例可作为撰写可执行报告的模板. <Web渗透测试:使用Ka

Kali Linux Web 渗透测试— 第十二课-websploit

Kali Linux Web 渗透测试— 第十二课-websploit 文/玄魂 目录 Kali Linux Web 渗透测试— 第十二课-websploit............................................... 1 Websploit 简介........................................................................................... 2 主要功能...........

shellKali Linux Web 渗透测试— 初级教程(第三课)

shellKali Linux Web 渗透测试— 初级教程(第三课) 文/玄魂 目录 shellKali Linux Web 渗透测试—初级教程(第三课)... 1 课程目录... 1 通过google hack寻找测试目标... 2 一个asp站点的sql注入... 3 一个php站点的sql注入... 4  课程地址:点击 课程目录 两个基本案例,以sql注入入手,目标为熟悉基本的思路,关注细节信息. 关于google hack,web 扫描,sql注入更详细和复杂的内容后续教程会专门讲解

菜鸟学Java(十九)——WEB项目测试好帮手,Maven+Jetty

做WEB开发,测试是一件很费时间的事情.所以我们就应该用更简单.更快捷的方式进行测试.今天就向大家介绍一个轻量级的容器--jetty.j今天说的etty是Maven的一个插件jetty-maven-plugin,与Maven配合起来使用非常的方便,它的配置也非常的简单,下面我们就看看它怎么用吧! 在pom.xml 文件的<project>标签下加入如下代码: <build> <plugins> <plugin> <groupId>org.mort

Web端测试和移动端测试的区别

之前参加的项目有涉及Web端测试和移动端测试,简单的记录下他们之间的区别: 1.记录bug 在Web端可以通过系统自带的截图和QQ截图等方式来截取bug的图片,对于错误的地方可以用工具自带的标识来重点标记. 对于移动端设备可以用手机自带的截图工具来截图然后传到电脑上,个人一般习惯安装微信的windows版本,通过文件传输助手发送到PC端.还有一种比较便捷的方式,将手机用数据线连接到电脑,本地配置android的运行环境,下载asm.jar,在cmd运行java -jar asm.jar,即可实时

RESTful Web Services测试工具推荐

命令行控的最爱:cURL cURL是一个很强大的支持各种协议的文件传输工具,用它来进行RESTful Web Services的测试简直是小菜一碟.这个工具基本上类Unix操作系统(各种Linux.Mac OS X)都自带了,而Windows用户就得去额外下载了. cURL的命令参数非常多,一般用于RESTful Web Services测试要用到下面四种参数: -d/–data <data>:POST数据内容 -X/–request <command>:指定请求的方法(使用-d时

十个免费的Web压力测试工具

两天,jnj在本站发布了<如何在低速率网络中测试 Web 应用>,那是测试网络不好的情况.而下面是十个免费的可以用来进行Web的负载/压力测试的工具,这样,你就可以知道你的服务器以及你的WEB应用能够顶得住多少的并发量,以及你的网站的性能.我相信,北京奥组委的订票网站的开发团队并不知道有这样的测试工具. Grinder –  Grinder是一个开源的JVM负载测试框架,它通过很多负载注射器来为分布式测试提供了便利. 支持用于执行测试脚本的Jython脚本引擎HTTP测试可通过HTTP代理进行

KALI LINUX WEB 渗透测试视频教程—第十九课-METASPLOIT基础

原文链接:Kali Linux Web渗透测试视频教程—第十九课-metasploit基础 文/玄魂 目录 Kali Linux Web 渗透测试视频教程—第十九课-metasploit基础...................... 1 metasploit..................................................................................................... 1 基本体系结构..........