首页>建站资源>网站数据
下载

Web应用程序填写清单

基于OWASP的清单??

500多个测试用例

概念链接:https://hariprasaanth.notion.site/web-application-pentesting-checklist-0f02d8074b9d4b9d4af7b12b8da2d46ac998

  • 信息收集

    开源侦察

    • 执行Google Dorks搜索
    • 执行OSINT

    指纹网络服务器

    • 找到Web服务器的类型
    • 查找Web服务器的版本详细信息

    寻找metafiles

    • 查看robots.txt文件
    • 查看sitemap.xml文件
    • 查看人类.txt文件
    • 查看Security.txt文件

    枚举Web服务器的应用程序

    • 用nmap枚举
    • 用NetCat枚举
    • 执行DNS查找
    • 执行反向DNS查找

    查看网络内容

    • 检查页面源以获取敏感信息
    • 尝试查找敏感的JavaScript代码
    • 尝试找到任何钥匙
    • 确保自动完成已禁用

    识别应用程序的输入点

    • 确定使用的方法是什么?
    • 确定使用的方法在哪里?
    • 识别注射点

    映射执行路径

    • 使用Burp Suite
    • 使用Dirsearch
    • 使用Gobuster

    指纹Web应用程序框架

    • 使用Wappalyzer浏览器扩展
    • 使用whatweb
    • 查看URL扩展
    • 查看HTML源代码
    • 查看cookie参数
    • 查看HTTP标题

    地图应用程序体系结构

    • 绘制整体站点结构

  • 配置和部署管理测试

    测试网络配置

    • 检查网络配置
    • 检查默认设置
    • 检查默认凭据

    测试应用程序配置

    • 确保仅使用所需的模块
    • 确保有多余的模块被禁用
    • 确保服务器可以处理DOS
    • 检查应用程序如何处理4xx&5xx错误
    • 检查运行所需的特权
    • 检查日志以获取敏感信息

    测试文件扩展名处理

    • 确保服务器不会返回敏感扩展
    • 确保服务器不会接受恶意扩展
    • 测试文件上传漏洞

    查看备份和未参考文件

    • 确保未参考的文件不包含任何敏感信息
    • 确保旧和新备份文件的命名
    • 检查未参考页面的功能

    枚举基础架构和管理界面

    • 尝试找到基础架构接口
    • 尝试找到管理接口
    • 确定隐藏的管理功能

    测试HTTP方法

    • 发现支持的方法
    • 确保禁用PUT方法
    • 确保禁用选项方法
    • 测试访问控制旁路
    • 测试XST攻击
    • 测试HTTP方法覆盖

    测试HST

    • 确保启用HST

    测试RIA跨域政策

    • 检查Adobe的跨域政策
    • 确保其特权最低

    测试文件权限

    • 确保敏感文件的权限
    • 测试目录枚举

    测试子域收购

    • 测试DNS,A和CNAME记录子域收购
    • 测试子域收购的NS记录
    • 测试404子域接管的响应

    测试云存储

    • 检查AWS的敏感道路
    • 检查Google Cloud的敏感路径
    • 检查Azure的敏感路径

  • 身份管理测试

    测试角色定义

    • 测试强制浏览
    • 测试IDOR(不安全的直接对象参考)
    • 测试参数篡改
    • 确保低特权用户无法访问高特权资源

    测试用户注册过程

    • 确保相同的用户或身份不能一次又一次注册
    • 确保验证注册
    • 确保拒绝一次性电子邮件地址
    • 检查成功注册需要什么证据

    测试帐户供应过程

    • 检查配置过程的验证
    • 检查验证是否进行删除过程
    • 检查管理用户向其他用户的供应权
    • 检查用户是否能够自行拆除?
    • 检查脱机用户的资源

    计算帐户枚举

    • 在输入有效的用户名和密码时检查响应
    • 在输入有效的用户名和无效密码时检查响应
    • 当输入无效的用户名和密码时检查响应
    • 确保在用户名和密码字段中启用限制速率的功能

    测试弱用户名政策

    • 检查有效和无效用户名的响应
    • 检查用户名列举

  • 身份验证测试

    测试未加密的频道

    • 检查HTTP登录页面
    • 检查HTTP寄存器或登录页面
    • 检查HTTP忘记密码页面
    • 检查HTTP更改密码
    • 注销后检查HTTP上的资源
    • 测试强制浏览到HTTP页面

    测试默认凭据

    • 用默认凭据测试
    • 测试组织名称作为证书
    • 测试响应操纵
    • 测试默认用户名和空白密码
    • 查看凭据的页面源

    测试较弱的锁定机制

    • 确保3-5次尝试后锁定该帐户
    • 确保系统仅接受有效的验证码
    • 确保系统拒绝无效的验证码
    • 重新加载后确保验证码重新生成
    • 输入错误的代码后,请确保验证码重新加载
    • 确保用户具有锁定帐户的恢复选项

    测试绕过身份验证模式

    • 测试强迫直接浏览到无登录的内部仪表板
    • 测试会话ID预测
    • 测试身份验证参数篡改
    • 测试登录页面上的SQL注入
    • 测试在会话ID的帮助下访问
    • 测试是否允许多个登录名?

    测试脆弱的记住密码

    • 确保对存储的密码进行加密
    • 确保存储的密码位于服务器端

    测试浏览器缓存弱点

    • 确保在敏感页面上设置适当的缓存控制
    • 确保在浏览器缓存存储中不存储敏感数据

    测试弱密码策略

    • 确保密码策略设置为强
    • 检查密码可重复使用性
    • 检查用户被阻止使用其用户名作为密码
    • 检查使用常见的弱密码
    • 检查要设置的最小密码长度
    • 检查要设置的最大密码长度

    测试薄弱的安全问题

    • 检查问题的复杂性
    • 检查是否有蛮力

    测试弱密码重置功能

    • 检查重置密码需要什么信息
    • 使用HTTP检查密码重置功能
    • 测试密码重置令牌的随机性
    • 测试密码重置令牌的唯一性
    • 测试限制密码重置令牌的费率
    • 确保令牌使用后必须过期
    • 确保令牌长期不使用后必须过期

    测试弱密码更改功能

    • 检查旧密码是否要求进行更改
    • 检查遗忘密码的唯一性
    • 检查空白密码更改
    • 使用HTTP检查密码更改功能
    • 更改后确保未显示旧密码
    • 密码更改后,请确保其他会议被销毁

    测试替代通道中弱身份验证

    • 在桌面浏览器上测试身份验证
    • 在移动浏览器上测试身份验证
    • 在另一个国家测试身份验证
    • 用不同语言测试身份验证
    • 在桌面应用程序上测试身份验证
    • 在移动应用程序上测试身份验证

  • 授权测试

    测试目录遍历文件包括

    • 识别URL上的注入点
    • 测试本地文件包含
    • 测试远程文件包含
    • 在URL参数上测试遍历
    • cookie参数的测试遍历

    用编码测试遍历

    • 用base64编码测试遍历
    • 用URL编码的测试遍历
    • 用ASCII编码测试遍历
    • 用HTML编码测试遍历
    • 用十六进制编码测试遍历
    • 用二进制编码测试遍历
    • 测试遍历八进制编码
    • 用GZIP编码测试遍历

    用不同的OS方案测试Travesal

    • 使用UNIX方案测试遍历
    • 使用Windows方案测试遍历
    • 使用MAC方案测试遍历

    测试其他编码技术

    • 双重编码测试遍历
    • 用所有字符编码的测试遍历
    • 仅具有特殊字符的测试遍历

    测试授权模式旁路

    • 测试水平授权模式旁路
    • 测试垂直授权模式旁路
    • 用自定义标头测试目标

    测试特权升级

    • 识别注射点
    • 测试绕过安全措施
    • 测试强制浏览
    • 测试子公司
    • 测试参数篡改到高特权用户

    测试不安全的直接对象参考

    • 测试更改ID参数
    • 测试以在端点添加参数
    • HTTP参数污染的测试
    • 通过在末尾添加扩展名来测试
    • 使用过时的API版本测试
    • 通过用数组包装ID来测试
    • 通过用JSON对象包装ID来测试
    • 测试JSON参数污染
    • 通过更改情况进行测试
    • 测试路径遍历
    • 通过更改单词测试
    • 通过更改方法测试

  • 会话管理测试

    测试会话管理模式

    • 确保所有Set-Cookie指令都安全
    • 确保在未加密的频道上不进行cookie操作
    • 确保不能在未加密的频道上强迫饼干
    • 确保启用httponly标志
    • 检查任何饼干是否持续
    • 检查会话cookie和cookie到期日期/时间
    • 检查会话固定
    • 检查并发登录
    • 注销后检查会话
    • 关闭浏览器后检查会话
    • 尝试解码cookie(基本64,十六进制,URL等)

    测试cookie属性

    • 确保必须使用安全属性设置cookie
    • 确保必须使用路径属性设置cookie
    • 确保cookie必须具有httponly标志

    测试会话固定

    • 确保在成功的身份验证后发布了新的饼干
    • 测试操纵饼干

    测试暴露会话变量

    • 测试加密
    • 测试获取和发布漏洞
    • 测试是否符合使用的会话ID的请求
    • 通过互换帖子与GET方法进行测试

    测试背部刷新攻击

    • 密码更改后测试
    • 注销后测试

    测试跨站点请求伪造

    • 检查令牌是否在服务器端验证
    • 检查令牌是否已验证以完成全长或部分长度
    • 通过比较多个虚拟帐户的CSRF代币检查
    • 通过与Get方法互换帖子检查CSRF
    • 通过删除CSRF代币参数来检查CSRF
    • 通过删除CSRF令牌检查CSRF并使用空白参数
    • 使用未使用的令牌检查CSRF
    • 通过用自己的值替换CSRF令牌来检查CSRF
    • 通过将内容类型更改为Multipart来检查CSRF
    • 通过更改或删除CSRF令牌的某些字符来检查CSRF
    • 通过将转介程序更改为推荐人来检查CSRF
    • 通过更改主机值检查CSRF
    • 与clickjacking一起检查CSRF

    测试注销功能

    • 在不同页面上检查登录功能
    • 检查注销按钮的可见性
    • 注销后确保会话结束
    • 确保注销后,我们无法通过按下返回按钮来访问仪表板
    • 确保设置了适当的会话超时

    测试会话超时

    • 确保存在会话超时
    • 确保超时后,所有令牌都被破坏了

    会议的测试令人困惑

    • 确定所有会话变量
    • 尝试打破会话生成的逻辑流

    测试会话劫持

    • 测试会话劫持未启用HST的目标
    • 借助捕获的饼干登录测试

  • 输入验证测试

    测试反射的跨站点脚本

    • 确保这些字符被过滤<>''&“”
    • 用角色逃生序列测试
    • 通过用HTML实体替换<和>测试<和>
    • 测试有效载荷,下层和高层
    • 测试以新线 /r /n打破防火墙正则罚款
    • 用双重编码测试
    • 用递归测试
    • 测试没有空格的锚定标签
    • 通过用子弹代替空格测试
    • 通过更改HTTP方法测试

    测试存储的跨站点脚本

    • 识别将反映客户端的存储的输入参数
    • 在配置文件页面上查找输入参数
    • 在购物车页面上查找输入参数
    • 在文件上传页面上查找输入参数
    • 在设置页面上查找输入参数
    • 在论坛上查找输入参数,评论页面
    • 测试用XSS有效载荷作为其文件名上传文件
    • 使用HTML标签测试

    HTTP参数污染的测试

    • 确定后端服务器和解析方法
    • 尝试访问注射点
    • 尝试使用HTTP参数污染绕过输入过滤器

    测试SQL注入

    • 测试对身份验证表的SQL注入
    • 在搜索栏上测试SQL注入
    • 测试SQL注入可编辑特征
    • 尝试查找SQL关键字或入口点检测
    • 尝试注入SQL查询
    • 使用SQLMAP或HACKBAR等工具
    • 使用Google Dorks查找SQL关键字
    • 尝试获得基于SQL注入
    • 尝试基于邮政的SQL注入
    • 尝试基于cookie的SQL注入
    • 尝试基于标题的SQL注入
    • 在SQL查询之前,请尝试使用null字节注入SQL
    • 使用URL编码尝试SQL注入
    • 尝试使用下部和高层注射SQL注射
    • 尝试使用SQL篡改脚本注入SQL
    • 尝试使用SQL时间延迟有效载荷的SQL注入
    • 尝试使用SQL有条件延迟的SQL注入
    • 尝试使用基于布尔的SQL注入SQL
    • 尝试使用基于时间的SQL注入SQL

    测试LDAP注射

    • 使用LDAP搜索过滤器
    • 尝试LDAP注入以获取访问控制旁路

    XML注射测试

    • 检查应用程序是否正在使用XML进行处理
    • 通过XML Metacharacter识别XML注入点
    • 在XML之上构造XSS有效载荷

    服务器端的测试包括

    • 使用Google Dorks查找SSI
    • 在SSI顶部构建RCE
    • 在SSI顶部构建其他注射
    • 测试在登录页面,标头字段,推荐程序等上注射SSI

    测试XPath注入

    • 识别XPath注入点
    • 测试XPath注入

    测试IMAP SMTP注入

    • 识别IMAP SMTP注射点
    • 了解数据流
    • 了解系统的部署结构
    • 评估注射影响

    测试本地文件包含

    • 寻找LFI关键字
    • 尝试更改本地路径
    • 使用LFI有效载荷列表
    • 测试LFI通过在末端添加零字节来测试LFI

    测试远程文件包含

    • 寻找RFI关键字
    • 尝试更改远程路径
    • 使用RFI有效载荷列表

    测试指挥注射

    • 识别注射点
    • 寻找命令注入关键字
    • 使用不同的定系数测试命令注射
    • 带有有效载荷列表的测试命令注入
    • 带有不同OS命令的测试命令注射

    测试格式弦注射

    • 识别注射点
    • 使用不同的格式参数作为有效载荷
    • 评估注射影响

    测试主机注入

    • 通过更改真实主机参数来测试HHI
    • 通过添加X型主机参数来测试HHI
    • 通过交换真实主机和X-Forwarded主机参数来测试HHI
    • 通过添加两个主机参数来测试HHI
    • 通过在原始值前面添加目标值来测试HHI
    • 通过在原始值之后用斜杠添加目标来测试HHI
    • 测试HHI,并在主机参数上注射其他注射
    • 通过密码重置中毒测试HHI

    测试服务器端请求伪造

    • 寻找SSRF关键字
    • 仅在请求标头和身体下搜索SSRF关键字
    • 识别注射点
    • 测试注射点是否可利用
    • 评估注射影响

    测试服务器端模板注入

    • 确定模板注入漏洞点
    • 识别模板引擎
    • 使用TPLMAP来利用

  • 错误处理测试

    测试错误处理不当

    • 确定错误输出
    • 分析返回的不同输出
    • 寻找常见的错误处理缺陷
    • 通过修改URL参数来处理测试错误处理
    • 通过上传未识别的文件格式来处理错误处理
    • 通过输入未识别的输入来处理测试错误处理
    • 测试错误来处理所有可能的错误

  • 弱加密测试

    测试弱运输层安全性

    • 测试SSLV2协议上的淹没弱点
    • 测试SSLV3协议上的贵宾犬弱点
    • 测试TLSV1.0方案上的野兽弱点
    • 测试出口密码套件上的怪胎弱点
    • 测试空密码
    • 测试RC4上的Nomore弱点
    • 在CBC模式密码上的幸运13弱点测试
    • 测试TLS压缩的犯罪弱点
    • 测试DHE键上的logjam
    • 确保数字证书至少应具有2048位关键长度
    • 确保数字证书至少应具有SHA-256签名算法
    • 确保数字证书不应使用MDF和SHA-1
    • 确保数字证书的有效性
    • 确保最小键长度要求
    • 寻找微弱的密码套件

  • 业务逻辑测试

    测试业务逻辑

    • 确定应用程序如何工作的逻辑
    • 确定所有按钮的功能
    • 通过将数值变为高或负值来测试
    • 通过更改数量测试
    • 通过修改付款来测试
    • 测试参数篡改

    测试恶意文件上传

    • 通过上传恶意文件来测试恶意文件上传
    • 通过将IP地址放在文件名上来测试恶意文件上传
    • 测试恶意文件上传到右至左覆盖
    • 通过编码文件名来测试恶意文件上传
    • 通过XSS有效载荷在文件名上测试恶意文件上传
    • 通过RCE有效载荷在文件名上测试恶意文件上传
    • 通过LFI有效载荷在文件名上测试恶意文件上传
    • 通过RFI有效载荷在文件名上测试恶意文件上传
    • 测试通过文件名上的SQL有效载荷上传的恶意文件上传
    • 通过其他注射在文件名上的其他注射测试恶意文件上传
    • 通过插入BMP.PL工具的图像中的有效载荷来测试恶意文件上传
    • 通过上传大型文件(导致DOS)来测试恶意文件上传

  • 客户侧测试

    测试基于DOM的跨站点脚本

    • 尝试识别DOM接收器
    • 将有效载荷构建到该DOM接收器类型

    测试URL重定向

    • 寻找URL重定向参数
    • 测试域参数上的URL重定向
    • 使用有效载荷列表测试URL重定向
    • 测试URL重定向,最后使用白色的单词
    • 通过创建一个与目标相同的新子域来测试URL重定向
    • 测试XSS的URL重定向
    • 通过轮廓URL漏洞进行URL重定向测试

    测试跨起源资源共享

    • 在响应中查找“访问控制 - 允许原素”
    • 使用CORS HTML利用代码进行进一步开发

    测试点击夹克

    • 确保启用“ X框架选项”标题
    • 用iframe HTML代码利用POC

  • 其他常见问题

    测试无率限制

    • 确保限制速率
    • 尝试通过更改端点的情况来绕过率限制
    • 尝试通过添加 /在URL结束时绕过速率限制
    • 尝试通过添加HTTP标头来绕过速率限制
    • 尝试通过添加HTTP标头两次来绕过速率限制
    • 尝试通过添加原始标题来绕过率限制
    • 尝试通过IP旋转限制限制速率
    • 尝试通过使用null字节在末尾绕过速率限制
    • 尝试使用种族条件绕开限制率

    测试Exif Geodata

    • 确保网站剥离Geodata
    • 使用EXIF检查器测试

    测试破碎的链接劫持

    • 确保没有断开的链接
    • 使用BLC工具测试断链的链接

    测试SPF

    • 确保网站有SPF记录
    • nslookup命令测试SPF

    测试弱2FA

    • 尝试通过使用不良的会话管理来绕开2FA
    • 尝试通过OAUTH机制绕过2FA
    • 尝试通过蛮力绕过2FA
    • 尝试通过响应操作绕过2FA
    • 尝试通过使用激活链接绕过2FA登录
    • 尝试使用状态代码操纵绕过2FA
    • 尝试通过更改电子邮件或密码绕过2FA
    • 尝试使用零或空条目绕过2FA
    • 尝试通过将布尔人更改为false来绕开2FA
    • 尝试通过请求删除2FA参数来绕过2FA

    测试弱OTP实施

    • 尝试通过输入旧的OTP绕过OTP
    • 尝试通过蛮力绕过OTP
    • 尝试使用空条目或空条目绕开OTP
    • 尝试通过响应操作绕过OTP
    • 尝试通过状态代码操纵绕过OTP

塑造者:hariprasaanth r

联系我:LinkedIn Portfolio Github

展开
附加信息
相关应用
为您推荐
相关资讯 全部