owasp web应用安全测试清单

2021-08-16 10:26:47 浏览数 (2)

信息收集:手动浏览站点

用于查找丢失或隐藏内容的爬行器

检查是否存在公开内容的文件,如robots.txt、sitemap.xml、.DS_Store检查主要搜索引擎的缓存中是否存在可公开访问的站点

检查基于用户代理的内容差异(例如,移动站点、作为搜索引擎爬虫的访问)

执行Web应用程序指纹

识别使用的技术识别用户角色

确定应用程序入口点

识别客户端代码

识别多个版本/渠道(例如web、移动web、移动应用程序、web服务)

确定共同托管和相关的应用程序

识别所有主机名和端口

识别第三方托管的内容

配置管理:

检查常用的应用程序和管理URL

检查旧文件、备份文件和未引用文件

检查支持的HTTP方法和跨站点跟踪(XST)

测试文件扩展名处理

测试安全HTTP头(例如CSP、X-Frame-Options、HST)

政策测试(例如flash、Silverlight、机器人)

在实时环境中测试非生产数据,反之亦然

检查客户端代码中的敏感数据(例如API密钥、凭据)

安全传输:

检查SSL版本、算法、密钥长度

检查数字证书的有效性(过期时间、签名和CN)

检查仅通过HTTPS传递的凭据

检查登录表单是否通过HTTPS传递

检查仅通过HTTPS传递的会话令牌

检查是否正在使用HTTP严格传输安全性(HSTS)

身份验证:

用户枚举测试

身份验证旁路测试

强力保护试验

测试密码质量规则

测试“remember me”功能

密码表单/输入上的自动完成测试

测试密码重置和/或恢复

测试密码更改过程

测试验证码

测试多因素身份验证

测试是否存在注销功能

HTTP上的缓存管理测试(例如Pragma、Expires、Max age)

测试默认登录名

测试用户可访问的身份验证历史记录

测试帐户锁定和成功更改密码的通道外通知

使用共享身份验证架构/SSO测试应用程序之间的一致身份验证

会话管理:

确定应用程序中如何处理会话管理(例如,Cookie中的令牌、URL中的令牌)

检查会话令牌的cookie标志(httpOnly和secure)

检查会话cookie作用域(路径和域)

检查会话cookie持续时间(过期和最长期限)

在最长生存期后检查会话终止

检查相对超时后的会话终止

注销后检查会话终止

测试用户是否可以同时拥有多个会话

随机性测试会话cookie

确认在登录、角色更改和注销时发布了新会话令牌

使用共享会话管理跨应用程序测试一致的会话管理

会话困惑测试

CSRF和clickjacking测试

Authorization:

路径遍历测试

绕过授权架构的测试

垂直访问控制问题测试(又称权限提升)

水平访问控制问题测试(在相同权限级别的两个用户之间)

缺少授权的测试

数据安全测试:

反射式跨站点脚本测试

测试存储的跨站点脚本

基于DOM的跨站点脚本测试

跨场地泛水试验

HTML注入测试

SQL注入测试

LDAP注入测试

ORM注射试验

XML注入测试

XXE注射试验

SSI注入试验

XPath注入测试

XQuery注入测试

IMAP/SMTP注入测试

代码注入测试

表达式语言注入测试

命令注入测试

溢出测试(堆栈、堆和整数)

测试孵化的漏洞

HTTP拆分/走私测试

HTTP动词篡改测试

开放重定向测试

本地文件包含测试

远程文件包含测试

比较客户端和服务器端验证规则

NoSQL注射试验

HTTP参数污染测试

自动绑定测试

质量分配测试

测试是否存在空/无效的会话Cookie

拒绝服务测试:

反自动化测试

帐户锁定测试

HTTP协议DoS测试

SQL通配符DoS的测试

业务逻辑:

功能误用测试

不可否认性测试

信任关系测试

数据完整性测试

测试职责分离

加密技术:

检查应加密的数据是否未加密

根据上下文检查错误的算法用法

检查弱算法的使用情况

检查是否正确使用salt

检查随机性函数

风险功能-文件上传:

测试文件大小限制、上载频率和文件总数是否已定义并强制执行

测试文件内容是否与定义的文件类型匹配

测试所有文件上传是否有防病毒扫描。

测试是否清除了不安全的文件名

测试上载的文件在web根目录中不能直接访问

测试上传的文件是否不在同一主机名/端口上提供

测试文件和其他媒体是否与身份验证和授权模式集成

风险功能-支付:

测试Web服务器和Web应用程序上的已知漏洞和配置问题

测试默认密码或可猜测密码

在实时环境中测试非生产数据,反之亦然

测试注入漏洞

缓冲区溢出测试

不安全加密存储的测试

测试传输层保护是否不足

测试错误处理是否不当

测试CVSS v2分数>4.0的所有漏洞

验证和授权问题的测试

CSRF测试

HTML 5:

测试Web消息传递

Web存储SQL注入测试

检查CORS的实现

检查脱机Web应用程序

0 人点赞