基于OWASP測試指南,列舉了一些示例來反映里面的內(nèi)容付魔。(干活干活XD)
|--身份鑒別管理測試
| |--角色定義測試
| |--用戶注冊過程測試
| | |--http://wooyun.jozxing.cc/static/bugs/wooyun-2012-013986.html
| | |--http://wooyun.jozxing.cc/static/bugs/wooyun-2014-087354.html
| |--帳戶權(quán)限變化測試
| | |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-033542.html
| | |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-039358.html
| |--帳戶枚舉測試
| | |--就是通過認(rèn)證的響應(yīng)頁面返回信息不同導(dǎo)致可以判斷一個輸入的用戶名是否存在在數(shù)據(jù)庫中
| |--弱用戶名策略測試
| | |--就是通過認(rèn)證的響應(yīng)頁面返回信息不同導(dǎo)致可以判斷一個輸入的用戶名是否存在在數(shù)據(jù)庫中
|--認(rèn)證測試
| |--口令信息加密傳輸測試
| | |--http://blog.nsfocus.net/sensitive-data-clear-text-transmission/
| |--默認(rèn)口令測試
| | |--http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0167555.html
| | |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-040153.html
| |--帳戶鎖定機(jī)制測試
| | |--看認(rèn)證對于多次密碼錯誤的處理能力弯予,防爆破的
| |--認(rèn)證繞過測試
| | |--https://www.secpulse.com/archives/9539.html
| | |--https://wps2015.org/drops/drops/Cisco%20ASA%20Software%E8%BF%9C%E7%A8%8B%E8%AE%A4%E8%AF%81%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E.html
| | |--https://help.aliyun.com/knowledge_detail/37470.html
| |--記住密碼功能測試 functionality
| | |--http://www.geekpark.net/news/225694
| |--瀏覽器緩存弱點(diǎn)測試
| | |--http://www.4hou.com/technology/7523.html
| |--密碼策略測試
| | |--密碼強(qiáng)度不夠,主要是使用者自己的問題
| |--安全問答測試
| | |--也主要是使用者的問題,安全問題的答案容易被破解
| |--密碼重置測試
| | |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-021914.html
| | |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-018722.html
| |--其他相關(guān)認(rèn)證渠道測試
|--授權(quán)測試
| |--目錄遍歷/文件包含測試
| | |--https://www.wooyun.pro/bugs/wooyun-2012-08484
| | |--http://luoq.net/ais/1191/
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=56641&sort=author_name
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=2654
| |--授權(quán)繞過測試
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=48914
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=13410&sort=commen_text
| |--權(quán)限提升測試
| | |--https://www.wooyun.pro/bugs/wooyun-2012-07026
| |--不安全對象直接引用測試
| | |--https://www.wooyun.pro/bugs/wooyun-2014-066118
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=83297
|--會話管理測試
| |--會話管理繞過測試
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=109920
| |--Cookies屬性測試
| | |--主要是httponly來防止js操作cookie油航,secure來保證http傳輸是加密的
| |--會話固定測試
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=47827
| | |--http://xpenxpen.iteye.com/blog/1664075
| |--會話令牌泄露測試
| | |--這個主要還是個人不泄露自己的cookie蔑水,以及cookie的屬性來保證
| |--跨站點(diǎn)請求偽造(CSRF)測試
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=3105&sort=commen_text
| | |--https://wooyun.shuimugan.com/bug/view?bug_no=18
| |--登出功能測試
| |--會話超時測試
| |--會話令牌重載測試
| | |--利用一些可以往session里設(shè)置信息的頁面設(shè)置一些身份信息邢锯,然后用這個session去訪問一些需要身份信息的頁面
