OWASP安全测试checklist

信息收集测试

• 搜索引擎信息收集
• Web服务器指纹识别
• Web服务器元文件信息泄漏
• 枚举Web服务器的应用
• 注释和元数据信息泄漏
• 识别应用的入口
• 映射应用程序的执行路径
• 识别Web应用框架
• 识别Web应用程序
• 映射应用架构

配置管理测试

• 忘了和基础设施配置测试
• 应用平台配置测试
• 敏感信息文件扩展处理测试
• 对旧文件、备份和未被引用文件的敏感信息的审查
• 枚举基础设施和应用程序管理界面
• HTTP方法测试
• HTTP强制安全传输测试
• RIA跨域策略测试

身份管理测试

• 角色定义测试
• 用户注册流程测试
• 账户配置过程测试
• 账户枚举和可猜测的用户账户测试
• 弱的或未实施的用户策略测试

认证测试

• 凭证在加密通道中的传输测试
• 默认用户凭证测试
• 弱锁定机制测试
• 认证模式绕过测试
• 记忆密码功能存在威胁测试
• 浏览器缓存威胁测试
• 弱密码策略测试
• 弱安全问答测试
• 弱密码的更改或重设功能测试
• 在辅助信道中较弱认证测试

授权测试

• 目录遍历/文件包含测试
• 绕过授权模式测试
• 权限提升测试
• 不安全对象引用测试

会话管理测试

• 会话管理架构绕过测试
• Cookie属性测试
• 会话固定测试
• 会话变量泄漏测试
• 跨站请求伪造CSRF测试

输入验证测试

• 反射型跨站脚本测试
• 存储型跨站脚本测试
• HTTP方法篡改测试
• HTTP参数污染测试
• SQL注入测试
• LDAP测试
• ORM注入测试
• XML注入测试
• SSI注入测试
• XPath注入测试
• IMAP/SMTP注入测试
• 代码注入测试
• 命令注入测试
• 缓冲区溢出测试
• 潜伏式漏洞测试
• HTTP拆分/走私测试

错误处理测试

• 报错信息测试
• 堆栈轨迹测试

加密体系脆弱性测试

• SSL/TLS弱加密、传输层协议缺陷测试
• Padding Oracle攻击测试
• 通过未加密信道发送敏感数据测试

业务逻辑测试

• 业务逻辑数据验证测试
• 伪造请求的测试
• 完整性检查的测试
• 处理耗时测试
• 功能使用次数限制
• 工作流程逃逸的测试
• 防御应用程序滥用测试
• 意外文件类型上传测试
• 恶意文件上传测试

客户端测试

• 基于DOM的跨站脚本测试
• JavaScript执行测试
• HTML注入测试
• 客户端URL重定向测试
• CSS注入测试
• 客户端资源处理测试
• 跨域资源共享测试
• 跨站Flash测试
• 点击劫持测试
• WebSocket测试
• Web消息测试
• 本地存储测试