下列是评估过程中的测试项目清单:
| 索引 | 测试类别 | 测试名称 |
|---|---|---|
| 4.2 | 信息收集 | |
| 4.2.1 | OTG-INFO-001 | 搜索引擎信息发现和侦察 |
| 4.2.2 | OTG-INFO-002 | 识别web服务器 |
| 4.2.3 | OTG-INFO-003 | web服务器元文件信息发现 |
| 4.2.4 | OTG-INFO-004 | 服务器应用应用枚举 |
| 4.2.5 | OTG-INFO-005 | 评论信息发现 |
| 4.2.6 | OTG-INFO-006 | 应用入口识别 |
| 4.2.7 | OTG-INFO-007 | 识别应用工作流程 |
| 4.2.8 | OTG-INFO-008 | 识别web应用框架 |
| 4.2.9 | OTG-INFO-009 | 识别web应用程序 |
| 4.2.10 | OTG-INFO-010 | 绘制应用架构图 |
| 4.3 | 配置以及部署管理测试 | |
| 4.3.1 | OTG-CONFIG-001 | 网络基础设施配置测试 |
| 4.3.2 | OTG-CONFIG-002 | 应用平台配置管理测试 |
| 4.3.3 | OTG-CONFIG-003 | 文件扩展名处理测试 |
| 4.3.4 | OTG-CONFIG-004 | 备份、未链接文件测试 |
| 4.3.5 | OTG-CONFIG-005 | 枚举管理接口测试 |
| 4.3.6 | OTG-CONFIG-006 | HTTP方法测试 |
| 4.3.7 | OTG-CONFIG-007 | HTTP严格传输安全测试 |
| 4.3.8 | OTG-CONFIG-008 | 应用跨域策略测试 |
| 4.4 | 身份鉴别管理测试 | |
| 4.4.1 | OTG-IDENT-001 | 角色定义测试 |
| 4.4.2 | OTG-IDENT-002 | 用户注册过程测试 |
| 4.4.3 | OTG-IDENT-003 | 帐户权限变化测试 |
| 4.4.4 | OTG-IDENT-004 | 帐户枚举测试 |
| 4.4.5 | OTG-IDENT-005 | 弱用户名策略测试 |
| 4.5 | 认证测试 | |
| 4.5.1 | OTG-AUTHN-001 | 口令信息加密传输测试 |
| 4.5.2 | OTG-AUTHN-002 | 默认口令测试 |
| 4.5.3 | OTG-AUTHN-003 | 帐户锁定机制测试 |
| 4.5.4 | OTG-AUTHN-004 | 认证绕过测试 |
| 4.5.5 | OTG-AUTHN-005 | 记住密码功能测试 functionality |
| 4.5.6 | OTG-AUTHN-006 | 浏览器缓存弱点测试 |
| 4.5.7 | OTG-AUTHN-007 | 密码策略测试 |
| 4.5.8 | OTG-AUTHN-008 | 安全问答测试 |
| 4.5.9 | OTG-AUTHN-009 | 密码重置测试 |
| 4.5.10 | OTG-AUTHN-010 | 其他相关认证渠道测试 |
| 4.6 | 授权测试 | |
| 4.6.1 | OTG-AUTHZ-001 | 目录遍历/文件包含测试 |
| 4.6.2 | OTG-AUTHZ-002 | 授权绕过测试 |
| 4.6.3 | OTG-AUTHZ-003 | 权限提升测试 |
| 4.6.4 | OTG-AUTHZ-004 | 不安全对象直接引用测试 |
| 4.7 | 会话管理测试 | |
| 4.7.1 | OTG-SESS-001 | 会话管理绕过测试 |
| 4.7.2 | OTG-SESS-002 | Cookies属性测试 |
| 4.7.3 | OTG-SESS-003 | 会话固定测试 |
| 4.7.4 | OTG-SESS-004 | 会话令牌泄露测试 |
| 4.7.5 | OTG-SESS-005 | 跨站点请求伪造(CSRF)测试 |
| 4.7.6 | OTG-SESS-006 | 登出功能测试 |
| 4.7.7 | OTG-SESS-007 | 会话超时测试 |
| 4.7.8 | OTG-SESS-008 | 会话令牌重载测试 |
| 4.8 | 输入验证测试 | |
| 4.8.1 | OTG-INPVAL-001 | 反射型跨站脚本测试 |
| 4.8.2 | OTG-INPVAL-002 | 存储型跨站脚本测试 |
| 4.8.3 | OTG-INPVAL-003 | HTTP谓词伪造测试 |
| 4.8.4 | OTG-INPVAL-004 | HTTP参数污染测试 |
| 4.8.5 | OTG-INPVAL-005 | SQL注入测试 |
| 4.8.5.1 | Oracle注入测试 | |
| 4.8.5.2 | MySQL注入测试 | |
| 4.8.5.3 | SQL Server注入测试 | |
| 4.8.5.4 | PostgreSQL注入测试 | |
| 4.8.5.5 | MS Access注入测试 | |
| 4.8.5.6 | NoSQL注入测试 | |
| 4.8.6 | OTG-INPVAL-006 | LDAP注入测试 |
| 4.8.7 | OTG-INPVAL-007 | ORM注入测试 |
| 4.8.8 | OTG-INPVAL-008 | XML注入测试 |
| 4.8.9 | OTG-INPVAL-009 | SSI注入测试 |
| 4.8.10 | OTG-INPVAL-010 | XPath注入测试 |
| 4.8.11 | OTG-INPVAL-011 | IMAP/SMTP注入测试 |
| 4.8.12 | OTG-INPVAL-012 | 代码注入测试 |
| 4.8.12.1 | 本地文件包含测试 | |
| 4.8.12.2 | 远程文件包含测试 | |
| 4.8.13 | OTG-INPVAL-013 | 命令执行注入测试 |
| 4.8.14 | OTG-INPVAL-014 | 缓冲区溢出测试 |
| 4.8.14.1 | 堆溢出测试 | |
| 4.8.14.2 | 栈溢出测试 | |
| 4.8.14.3 | 格式化字符串测试 | |
| 4.8.15 | OTG-INPVAL-015 | 潜伏式漏洞测试 |
| 4.8.16 | OTG-INPVAL-016 | HTTP分割/伪造测试 |
| 4.9 | 错误处理测试 | |
| 4.9.1 | OTG-ERR-001 | 错误码分析 |
| 4.9.2 | OTG-ERR-002 | 栈追踪分析 |
| 4.10 | 密码学测试 | |
| 4.10.1 | OTG-CRYPST-001 | 弱SSL/TLS加密,不安全的传输层防护测试 |
| 4.10.2 | OTG-CRYPST-002 | Padding Oracle测试 |
| 4.10.3 | OTG-CRYPST-003 | 非加密信道传输敏感数据测试 |
| 4.11 | 业务逻辑测试 | |
| 4.11.1 | OTG-BUSLOGIC-001 | 业务逻辑数据验证测试 |
| 4.11.2 | OTG-BUSLOGIC-002 | 请求伪造能力测试 |
| 4.11.3 | OTG-BUSLOGIC-003 | 完整性测试 |
| 4.11.4 | OTG-BUSLOGIC-004 | 过程时长测试 |
| 4.11.5 | OTG-BUSLOGIC-005 | 功能使用次数限制测试 |
| 4.11.6 | OTG-BUSLOGIC-006 | 工作流程绕过测试 |
| 4.11.7 | OTG-BUSLOGIC-007 | 应用误用防护测试 |
| 4.11.8 | OTG-BUSLOGIC-008 | 非预期文件类型上传测试 |
| 4.11.9 | OTG-BUSLOGIC-009 | 恶意文件上传测试 |
| 4.12 | 客户端测试 | |
| 4.12.1 | OTG-CLIENT-001 | 基于DOM跨站脚本测试 |
| 4.12.2 | OTG-CLIENT-002 | JavaScript脚本执行测试 |
| 4.12.3 | OTG-CLIENT-003 | HTML注入测试 |
| 4.12.4 | OTG-CLIENT-004 | 客户端URL重定向测试 |
| 4.12.5 | OTG-CLIENT-005 | CSS注入测试 |
| 4.12.6 | OTG-CLIENT-006 | 客户端资源操纵测试 |
| 4.12.7 | OTG-CLIENT-007 | 跨源资源分享测试 |
| 4.12.8 | OTG-CLIENT-008 | Flash跨站测试 |
| 4.12.9 | OTG-CLIENT-009 | 点击劫持测试 |
| 4.12.10 | OTG-CLIENT-010 | WebSockets测试 |
| 4.12.11 | OTG-CLIENT-011 | Web消息测试 |
| 4.12.12 | OTG-CLIENT-012 | 本地存储测试 |