WEB安全测试手册

By:授客 QQ1033553122

欢迎加入软件性能测试交流QQ群:7156436

概述

Ø          目的

Ø          适用读者

Ø          适用范围

Ø          注意事项

Ø          测试级别说明

Ø          测试过程示意图

1.

1.1      运行帐号权限测试

1.2      Web服务器端口扫描

1.3      HTTP方法测试

1.4      HTTP PUT方法测试

1.5      HTTP DELETE方法测试

1.6      HTTP TRACE方法测试

1.7      HTTP MOVE方法测试

1.8      HTTP COPY方法测试

1.9      Web服务器版本信息收集

2.

2.1      工具方式的敏感接口遍历

2.2      Robots方式的敏感接口查找

2.3      Web服务器的控制台

2.4      目录列表测试

2.5      文件归档测试

3.

3.1      验证码测试

3.2      认证错误提示

3.3      锁定策略测试

3.4      认证绕过测试

3.5      找回密码测试

3.6      修改密码测试

3.7      不安全的数据传输

a)         登录过程信息机密性保护

b)         修改密码信息机密性保护

3.8      强口令策略测试

a)         注册用户强口令策略

b)         修改用户密码强口令策略

c)         找回用户密码强口令策略

4.

4.1      用户注销登陆的方式测试

4.2      注销时会话信息是否清除测试

4.3      会话超时时间测试

4.4      会话定置(session fixation)测试

4.5      会话标识携带

4.6      会话cookie httponly属性设置

4.7      Cookie敏感信息检测

4.8      Cookie防篡改验证

4.9      Cookie过期时间检测

5.

5.1      横向越权操作测试

5.2      纵向越权操作测试

6.

6.1      文件上传测试

6.2      文件下载测试

7.

7.1      连接数据库的帐号密码加密测试

7.2      客户端源代码敏感信息测试

7.3      客户端源代码注释测试

7.4      异常处理测试

7.4.1 不存在的URL导致信息泄漏

7.4.2 非法字符导致信息泄漏

7.4.3 逻辑错误信息泄漏

7.5      HappyAxis.jsp页面测试

7.6      Web服务器状态信息测试

7.7      不安全的存储

a)

b)

c)

7.8      XML外部实体注入

8.

8.1      输入数据校验测试1(get请求)

8.2      输入数据校验测试2(post请求)

8.3      手工sql注入测试

8.4      自动化工具sql注入测试

8.5      命令执行测试

8.6      重定向测试

9.

9.1      GET方式跨站脚本测试

9.2      POST方式跨站脚本测试

9.3      利用工具自动化测试

10.

11.

12.

11.1   搜索引擎信息发现和侦察

11.2   审核web服务器元文件发现信息泄露

13.

12.1   自动化测试

12.2   手动测试

14.

15.

15.1

15.2

由于篇幅问题,采用百度网盘分享,下载地址:http://pan.baidu.com/s/1bo2P7A3

安全测试 WEB安全测试手册的更多相关文章

  1. web渗透测试

    信息收集 网络搜索 目录遍历:site:域名 intitle:index.of 配置文件泄露:site:域名 ext:xml | ext:conf | ext:cnf | ext:reg | ext: ...

  2. 如何测试Web服务.1

    一.什么是web服务  web服务在简单术语中可被定义为通过安装了特定设备或服务器到另一装置或客户端应用程序通过WWW彼此通信后的应用程序(万维网)提供的服务. Web服务通常在计算机网络的应用层上使 ...

  3. Web安全测试学习手册-业务逻辑测试

    i春秋作家:Vulkey_Chen 首先感谢朋友倾璇的邀请 http://payloads.online/archivers/2018-03-21/1 ,参与了<web安全测试学习手册>的 ...

  4. Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装

    Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装  一.配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装Virt ...

  5. Web渗透测试漏洞手册及修复建议

    Web渗透测试漏洞手册及修复建议 0x0 配置管理 0x01 HTTP方法测试 漏洞介绍: 目标服务器启用了不安全的传输方法,如PUT.DELETE等,这些方法表示可能在服务器上使用了 WebDAV, ...

  6. Kali Linux Web渗透测试手册(第二版) - 1.0 - 渗透测试环境搭建

    一.配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装VirtualBox 创建一个Kali Linux虚拟机 更新和升级Kali Linux ...

  7. Kali Linux Web渗透测试手册(第二版) - 1.1 - Firefox浏览器下安装一些常用的插件

    一.配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: l  在Windows和Linux上安装VirtualBox l  创建一个Kali Linux虚拟机 l  更新和升级Ka ...

  8. Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击

    Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击 文/玄魂 目录 Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击................... ...

  9. web测试与app测试的区别

    才开始做测试就接触的web端,后来也接触app端,所以在这里对于自己工作中所接触到的做一些总结(总要养成总结的好习惯). 对于web端和移动端app,功能方面的测试,例如测试设计方法这些都大同小异,都 ...

随机推荐

  1. 关于elasticsearch function_score的使用

    最近做新闻推荐系统,新闻搜索采用的是elasticsearch引擎,为了使推荐更接近用户偏好,搜索时使用了function_score功能对文档进行了重新打分,改变排序规则.以下介绍关于functio ...

  2. 零碎的java知识点记录(一)

    小知识点 Map有getOrDefault("1","0");取不到取默认值 两个不同对象,属性相同进行赋值转换,使用modelMapper <depen ...

  3. C# 实现拨号重连

    先断开网络连接 /// <summary> /// 断开网络连接 /// </summary> public static void Logout() { ReadOnlyCo ...

  4. Linux学习笔记之十二————vim编辑器的分屏操作

    一.分屏操作: sp: 上下分屏,后可跟文件名 vsp: 左右分屏,后可跟文件名 Ctr+w+w: 在多个窗口切换 二.启动分屏: 1.使用大写O参数进行垂直分屏 $ vim -On file1 fi ...

  5. Atom相关资料整理

    官网地址 https://atom.io/ Atom 中文社区 https://atom-china.org/ 常用插件 Emmet 这款插件是用来支持zend-coding,Emmet的前身是大名鼎 ...

  6. salesforce lightning零基础学习(八) Aura Js 浅谈一: Component篇

    我们在开发lightning的时候,常常会在controller.js中写 component.get('v.label'), component.set('v.label','xxValue'); ...

  7. Feign快速入门

    一.Feign简介1.Feign是一个声明式的web服务客户端,使用Feign编写web服务客户端更加容易2.具有可插拔注解支持,包括Feign注解和JAX-RS注解,还支持可插拔的编码器与解码器3. ...

  8. js仿qq分组折叠效果

    <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <m ...

  9. 红黑树深入剖析及Java实现

    红黑树是平衡二叉查找树的一种.为了深入理解红黑树,我们需要从二叉查找树开始讲起. BST 二叉查找树(Binary Search Tree,简称BST)是一棵二叉树,它的左子节点的值比父节点的值要小, ...

  10. Asp.net Webform 使用Repository模式实现CRUD操作代码生成工具

    Asp.net Webform 使用Repository模式实现CRUD操作代码生成工具 介绍 该工具是通过一个github上的开源项目修改的原始作者https://github.com/Supere ...