Owasp Testing Guide v4
说明
1.
序
2.
简介
3.
OWASP测试框架
4.
Web应用安全测试
4.1.
简介与目标
4.1.1.
测试清单
4.2.
信息收集
4.2.1.
搜索引擎信息发现和侦察 (OTG-INFO-001)
4.2.2.
识别web服务器 (OTG-INFO-002)
4.2.3.
web服务器元文件信息发现 (OTG-INFO-003)
4.2.4.
服务器应用应用枚举 (OTG-INFO-004)
4.2.5.
评论信息发现 (OTG-INFO-005)
4.2.6.
应用入口识别 (OTG-INFO-006)
4.2.7.
识别应用工作流程 (OTG-INFO-007)
4.2.8.
识别web应用框架 (OTG-INFO-008)
4.2.9.
识别web应用程序 (OTG-INFO-009)
4.2.10.
绘制应用架构图 (OTG-INFO-010)
4.3.
配置以及部署管理测试
4.3.1.
网络基础设施配置测试 (OTG-CONFIG-001)
4.3.2.
应用平台配置管理测试 (OTG-CONFIG-002)
4.3.3.
文件扩展名处理测试 (OTG-CONFIG-003)
4.3.4.
备份、未链接文件测试 (OTG-CONFIG-004)
4.3.5.
枚举管理接口测试 (OTG-CONFIG-005)
4.3.6.
HTTP方法测试 (OTG-CONFIG-006)
4.3.7.
HTTP严格传输安全测试 (OTG-CONFIG-007)
4.3.8.
应用跨域策略测试 (OTG-CONFIG-008)
4.4.
身份鉴别管理测试
4.4.1.
角色定义测试 (OTG-IDENT-001)
4.4.2.
用户注册过程测试 (OTG-IDENT-002)
4.4.3.
帐户权限变化测试 (OTG-IDENT-003)
4.4.4.
帐户枚举测试 (OTG-IDENT-004)
4.4.5.
弱用户名策略测试 (OTG-IDENT-005)
4.5.
认证测试
4.5.1.
口令信息加密传输测试 (OTG-AUTHN-001)
4.5.2.
默认口令测试 (OTG-AUTHN-002)
4.5.3.
帐户锁定机制测试 (OTG-AUTHN-003)
4.5.4.
认证绕过测试 (OTG-AUTHN-004)
4.5.5.
记住密码功能测试 functionality (OTG-AUTHN-005)
4.5.6.
浏览器缓存弱点测试 (OTG-AUTHN-006)
4.5.7.
密码策略测试 (OTG-AUTHN-007)
4.5.8.
安全问答测试 (OTG-AUTHN-008)
4.5.9.
密码重置测试 (OTG-AUTHN-009)
4.5.10.
其他相关认证渠道测试 (OTG-AUTHN-010)
4.6.
授权测试
4.6.1.
目录遍历/文件包含测试 (OTG-AUTHZ-001)
4.6.2.
授权绕过测试 (OTG-AUTHZ-002)
4.6.3.
权限提升测试 (OTG-AUTHZ-003)
4.6.4.
不安全对象直接引用测试 (OTG-AUTHZ-004)
4.7.
会话管理测试
4.7.1.
会话管理绕过测试 (OTG-SESS-001)
4.7.2.
Cookies属性测试 (OTG-SESS-002)
4.7.3.
会话固定测试 (OTG-SESS-003)
4.7.4.
会话令牌泄露测试 (OTG-SESS-004)
4.7.5.
跨站点请求伪造(CSRF)测试 (OTG-SESS-005)
4.7.6.
登出功能测试 (OTG-SESS-006)
4.7.7.
会话超时测试 (OTG-SESS-007)
4.7.8.
会话令牌重载测试 (OTG-SESS-008)
4.8.
输入验证测试
4.8.1.
反射型跨站脚本测试 (OTG-INPVAL-001)
4.8.2.
存储型跨站脚本测试 (OTG-INPVAL-002)
4.8.3.
HTTP谓词伪造测试 (OTG-INPVAL-003)
4.8.4.
HTTP参数污染测试 (OTG-INPVAL-004)
4.8.5.
SQL注入测试 (OTG-INPVAL-005)
4.8.5.1.
Oracle注入测试
4.8.5.2.
MySQL注入测试
4.8.5.3.
SQL Server注入测试
4.8.5.4.
PostgreSQL注入测试
4.8.5.5.
MS Access注入测试
4.8.5.6.
NoSQL注入测试
4.8.6.
LDAP注入测试 (OTG-INPVAL-006)
4.8.7.
ORM注入测试 (OTG-INPVAL-007)
4.8.8.
XML注入测试 (OTG-INPVAL-008)
4.8.9.
SSI注入测试 (OTG-INPVAL-009)
4.8.10.
XPath注入测试 (OTG-INPVAL-010)
4.8.11.
IMAP/SMTP注入测试 (OTG-INPVAL-011)
4.8.12.
代码注入测试 (OTG-INPVAL-012)
4.8.12.1.
本地文件包含测试(LFI)
4.8.12.2.
远程文件包含测试(RFI)
4.8.13.
命令执行注入测试 (OTG-INPVAL-013)
4.8.14.
缓冲区溢出测试 (OTG-INPVAL-014)
4.8.14.1.
堆溢出测试
4.8.14.2.
栈溢出测试
4.8.14.3.
格式化字符串测试
4.8.15.
潜伏式漏洞测试 (OTG-INPVAL-015)
4.8.16.
HTTP分割/伪造测试 (OTG-INPVAL-016)
4.9.
错误处理测试
4.9.1.
错误码分析 (OTG-ERR-001)
4.9.2.
栈追踪分析 (OTG-ERR-002)
4.10.
密码学测试
4.10.1.
弱SSL/TLS加密,不安全的传输层防护测试 (OTG-CRYPST-001)
4.10.2.
Padding Oracle测试 (OTG-CRYPST-002)
4.10.3.
非加密信道传输敏感数据测试 (OTG-CRYPST-003)
4.11.
业务逻辑测试
4.11.1.
业务逻辑数据验证测试 (OTG-BUSLOGIC-001)
4.11.2.
请求伪造能力测试 (OTG-BUSLOGIC-002)
4.11.3.
完整性测试 (OTG-BUSLOGIC-003)
4.11.4.
过程时长测试 (OTG-BUSLOGIC-004)
4.11.5.
功能使用次数限制测试 (OTG-BUSLOGIC-005)
4.11.6.
工作流程绕过测试 (OTG-BUSLOGIC-006)
4.11.7.
应用误用防护测试 (OTG-BUSLOGIC-007)
4.11.8.
非预期文件类型上传测试 (OTG-BUSLOGIC-008)
4.11.9.
恶意文件上传测试 (OTG-BUSLOGIC-009)
4.12.
客户端测试
4.12.1.
基于DOM跨站脚本测试 (OTG-CLIENT-001)
4.12.2.
JavaScript脚本执行测试 (OTG-CLIENT-002)
4.12.3.
HTML注入测试 (OTG-CLIENT-003)
4.12.4.
客户端URL重定向测试 (OTG-CLIENT-004)
4.12.5.
CSS注入测试 (OTG-CLIENT-005)
4.12.6.
客户端资源操纵测试 (OTG-CLIENT-006)
4.12.7.
跨源资源分享测试 (OTG-CLIENT-007)
4.12.8.
Flash跨站测试 (OTG-CLIENT-008)
4.12.9.
点击劫持测试 (OTG-CLIENT-009)
4.12.10.
WebSockets测试 (OTG-CLIENT-010)
4.12.11.
Web消息测试 (OTG-CLIENT-011)
4.12.12.
本地存储测试 (Local Storage) (OTG-CLIENT-012)
5.
报告编写
6.
附录
6.1.
附录 A: 测试工具
6.2.
附录 B: 推荐读物
6.3.
附录 C: 测试向量
6.4.
附录 D: 编码注入
Powered by
GitBook
A
A
襯線體
無襯線體
白色
棕褐色
夜間
分享到 Twitter
分享到 Google
分享到 Facebook
分享到 Weibo
分享到 Instapaper
Owasp Testing Guide v4
客户端测试
客户端测试更多关心客户端方面的代码执行情况,通常是web浏览器或者浏览器插件。区别于服务器端,代码在客户端执行并直接返回随后的结果。
下列文章描述了如何进行客户端的web应用测试:
基于DOM跨站脚本测试 (OTG-CLIENT-001)
JavaScript脚本执行测试 (OTG-CLIENT-002)
HTML注入测试 (OTG-CLIENT-003)
客户端URL重定向测试 (OTG-CLIENT-004)
CSS注入测试 (OTG-CLIENT-005)
客户端资源操纵测试 (OTG-CLIENT-006)
跨源资源分享测试 (OTG-CLIENT-007)
Flash跨站测试 (OTG-CLIENT-008)
点击劫持测试 (OTG-CLIENT-009)
WebSockets测试 (OTG-CLIENT-010)
Web消息测试 (OTG-CLIENT-011)
本地存储测试 (Local Storage) (OTG-CLIENT-012)