WEB安全测试手册

By:授客 QQ1033553122

欢迎加入软件性能测试交流QQ群:7156436

概述

Ø          目的

Ø          适用读者

Ø          适用范围

Ø          注意事项

Ø          测试级别说明

Ø          测试过程示意图

1.

1.1      运行帐号权限测试

1.2      Web服务器端口扫描

1.3      HTTP方法测试

1.4      HTTP PUT方法测试

1.5      HTTP DELETE方法测试

1.6      HTTP TRACE方法测试

1.7      HTTP MOVE方法测试

1.8      HTTP COPY方法测试

1.9      Web服务器版本信息收集

2.

2.1      工具方式的敏感接口遍历

2.2      Robots方式的敏感接口查找

2.3      Web服务器的控制台

2.4      目录列表测试

2.5      文件归档测试

3.

3.1      验证码测试

3.2      认证错误提示

3.3      锁定策略测试

3.4      认证绕过测试

3.5      找回密码测试

3.6      修改密码测试

3.7      不安全的数据传输

a)         登录过程信息机密性保护

b)         修改密码信息机密性保护

3.8      强口令策略测试

a)         注册用户强口令策略

b)         修改用户密码强口令策略

c)         找回用户密码强口令策略

4.

4.1      用户注销登陆的方式测试

4.2      注销时会话信息是否清除测试

4.3      会话超时时间测试

4.4      会话定置(session fixation)测试

4.5      会话标识携带

4.6      会话cookie httponly属性设置

4.7      Cookie敏感信息检测

4.8      Cookie防篡改验证

4.9      Cookie过期时间检测

5.

5.1      横向越权操作测试

5.2      纵向越权操作测试

6.

6.1      文件上传测试

6.2      文件下载测试

7.

7.1      连接数据库的帐号密码加密测试

7.2      客户端源代码敏感信息测试

7.3      客户端源代码注释测试

7.4      异常处理测试

7.4.1 不存在的URL导致信息泄漏

7.4.2 非法字符导致信息泄漏

7.4.3 逻辑错误信息泄漏

7.5      HappyAxis.jsp页面测试

7.6      Web服务器状态信息测试

7.7      不安全的存储

a)

b)

c)

7.8      XML外部实体注入

8.

8.1      输入数据校验测试1(get请求)

8.2      输入数据校验测试2(post请求)

8.3      手工sql注入测试

8.4      自动化工具sql注入测试

8.5      命令执行测试

8.6      重定向测试

9.

9.1      GET方式跨站脚本测试

9.2      POST方式跨站脚本测试

9.3      利用工具自动化测试

10.

11.

12.

11.1   搜索引擎信息发现和侦察

11.2   审核web服务器元文件发现信息泄露

13.

12.1   自动化测试

12.2   手动测试

14.

15.

15.1

15.2

由于篇幅问题,采用百度网盘分享,下载地址:http://pan.baidu.com/s/1bo2P7A3

安全测试 WEB安全测试手册的更多相关文章

  1. web渗透测试

    信息收集 网络搜索 目录遍历:site:域名 intitle:index.of 配置文件泄露:site:域名 ext:xml | ext:conf | ext:cnf | ext:reg | ext: ...

  2. 如何测试Web服务.1

    一.什么是web服务  web服务在简单术语中可被定义为通过安装了特定设备或服务器到另一装置或客户端应用程序通过WWW彼此通信后的应用程序(万维网)提供的服务. Web服务通常在计算机网络的应用层上使 ...

  3. Web安全测试学习手册-业务逻辑测试

    i春秋作家:Vulkey_Chen 首先感谢朋友倾璇的邀请 http://payloads.online/archivers/2018-03-21/1 ,参与了<web安全测试学习手册>的 ...

  4. Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装

    Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装  一.配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装Virt ...

  5. Web渗透测试漏洞手册及修复建议

    Web渗透测试漏洞手册及修复建议 0x0 配置管理 0x01 HTTP方法测试 漏洞介绍: 目标服务器启用了不安全的传输方法,如PUT.DELETE等,这些方法表示可能在服务器上使用了 WebDAV, ...

  6. Kali Linux Web渗透测试手册(第二版) - 1.0 - 渗透测试环境搭建

    一.配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装VirtualBox 创建一个Kali Linux虚拟机 更新和升级Kali Linux ...

  7. Kali Linux Web渗透测试手册(第二版) - 1.1 - Firefox浏览器下安装一些常用的插件

    一.配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: l  在Windows和Linux上安装VirtualBox l  创建一个Kali Linux虚拟机 l  更新和升级Ka ...

  8. Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击

    Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击 文/玄魂 目录 Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击................... ...

  9. web测试与app测试的区别

    才开始做测试就接触的web端,后来也接触app端,所以在这里对于自己工作中所接触到的做一些总结(总要养成总结的好习惯). 对于web端和移动端app,功能方面的测试,例如测试设计方法这些都大同小异,都 ...

随机推荐

  1. 首页背景图片在PC端有显示,在手机端不显示的解决方法

    今天看博客的资源大小,发现背景图片有44k大的吓人,准备压缩一下. 压缩之后才发现,我的背景图片在手机端是没有显示的.原因是背景图片不支持缩放. 上网查了下,发现加入如下代码之后就支持缩放了: bac ...

  2. Java实现大数相加、相乘(不使用BigInteger)

    大数相加: package algorithm; //使用BigInteger类验证 import java.math.BigInteger; public class BigAdd { public ...

  3. 在notepad++中使用正则匹配功能(一-龥!-~) 中文[利刃篇]

    用正则时间越久,人就越懒,就越知道正则的强大.正则,不只是在代码里用到,在字符查找是也会用到,学会适当使用正则,将会使你的工作事办功倍!但是,中文却是一个砍,不容易过. 于是在用notepad++,也 ...

  4. Testing - 软件测试知识梳理 - 探索性测试

    定义 探索性测试(Exploratory Testing)是一种自由的软件测试风格,强调测试人员同时展开测试学习,测试设计,测试执行和测试结果评估等活动,以持续优化测试工作. 其特征有:即兴发挥,快速 ...

  5. onload事件

    onload事件:页面加载(文本和图片)完毕的时候, onload的作用: JS加载时和html是同步加载的,如果使用元素在定义元素之前易报错: <!DOCTYPE html> <h ...

  6. 欧拉函数(C语言实现)

    欧拉函数(Euler's totient function)是指小于n的正整数中与n互质的数的数目,用φ(n)表示.特别的,φ(1)=1: 例如:φ(10)=4:1 3 7 9与10互质. 公式:φ( ...

  7. [原创]K8_Delphi源码免杀系列教程

    [原创]K8_Delphi源码免杀系列教程[2014] 虽是2014年的,但免杀思路方法并未过时 比如函数动态调用\代码注释法等至今依然有效 链接:https://pan.baidu.com/s/1H ...

  8. Linux_CentOS-服务器搭建 <六>

    修改MySQL编码: 二话不说先登录: mysql -u root -p 查看下神奇的mysql系统变量及其值: show variables like '%character%'; //记住分号哦, ...

  9. 内核知识第六讲,内核编写规范,以及获取GDT表

    内核知识第六讲,内核编写规范,以及获取GDT表 一丶内核驱动编写规范 我们都知道,在ring3下,如果我们的程序出错了.那么就崩溃了.但是在ring0下,只要我们的程序崩溃了.那么直接就蓝屏了. 那么 ...

  10. A brief introduction to per-cpu variables

    墙外通道:http://thinkiii.blogspot.com/2014/05/a-brief-introduction-to-per-cpu.html per-cpu variables are ...