• Owasp Testing Guide v4
  • 说明
  • 1. 序
  • 2. 简介
  • 3. OWASP测试框架
  • 4. Web应用安全测试
    • 4.1. 简介与目标
      • 4.1.1. 测试清单
    • 4.2. 信息收集
      • 4.2.1. 搜索引擎信息发现和侦察 (OTG-INFO-001)
      • 4.2.2. 识别web服务器 (OTG-INFO-002)
      • 4.2.3. web服务器元文件信息发现 (OTG-INFO-003)
      • 4.2.4. 服务器应用应用枚举 (OTG-INFO-004)
      • 4.2.5. 评论信息发现 (OTG-INFO-005)
      • 4.2.6. 应用入口识别 (OTG-INFO-006)
      • 4.2.7. 识别应用工作流程 (OTG-INFO-007)
      • 4.2.8. 识别web应用框架 (OTG-INFO-008)
      • 4.2.9. 识别web应用程序 (OTG-INFO-009)
      • 4.2.10. 绘制应用架构图 (OTG-INFO-010)
    • 4.3. 配置以及部署管理测试
      • 4.3.1. 网络基础设施配置测试 (OTG-CONFIG-001)
      • 4.3.2. 应用平台配置管理测试 (OTG-CONFIG-002)
      • 4.3.3. 文件扩展名处理测试 (OTG-CONFIG-003)
      • 4.3.4. 备份、未链接文件测试 (OTG-CONFIG-004)
      • 4.3.5. 枚举管理接口测试 (OTG-CONFIG-005)
      • 4.3.6. HTTP方法测试 (OTG-CONFIG-006)
      • 4.3.7. HTTP严格传输安全测试 (OTG-CONFIG-007)
      • 4.3.8. 应用跨域策略测试 (OTG-CONFIG-008)
    • 4.4. 身份鉴别管理测试
      • 4.4.1. 角色定义测试 (OTG-IDENT-001)
      • 4.4.2. 用户注册过程测试 (OTG-IDENT-002)
      • 4.4.3. 帐户权限变化测试 (OTG-IDENT-003)
      • 4.4.4. 帐户枚举测试 (OTG-IDENT-004)
      • 4.4.5. 弱用户名策略测试 (OTG-IDENT-005)
    • 4.5. 认证测试
      • 4.5.1. 口令信息加密传输测试 (OTG-AUTHN-001)
      • 4.5.2. 默认口令测试 (OTG-AUTHN-002)
      • 4.5.3. 帐户锁定机制测试 (OTG-AUTHN-003)
      • 4.5.4. 认证绕过测试 (OTG-AUTHN-004)
      • 4.5.5. 记住密码功能测试 functionality (OTG-AUTHN-005)
      • 4.5.6. 浏览器缓存弱点测试 (OTG-AUTHN-006)
      • 4.5.7. 密码策略测试 (OTG-AUTHN-007)
      • 4.5.8. 安全问答测试 (OTG-AUTHN-008)
      • 4.5.9. 密码重置测试 (OTG-AUTHN-009)
      • 4.5.10. 其他相关认证渠道测试 (OTG-AUTHN-010)
    • 4.6. 授权测试
      • 4.6.1. 目录遍历/文件包含测试 (OTG-AUTHZ-001)
      • 4.6.2. 授权绕过测试 (OTG-AUTHZ-002)
      • 4.6.3. 权限提升测试 (OTG-AUTHZ-003)
      • 4.6.4. 不安全对象直接引用测试 (OTG-AUTHZ-004)
    • 4.7. 会话管理测试
      • 4.7.1. 会话管理绕过测试 (OTG-SESS-001)
      • 4.7.2. Cookies属性测试 (OTG-SESS-002)
      • 4.7.3. 会话固定测试 (OTG-SESS-003)
      • 4.7.4. 会话令牌泄露测试 (OTG-SESS-004)
      • 4.7.5. 跨站点请求伪造(CSRF)测试 (OTG-SESS-005)
      • 4.7.6. 登出功能测试 (OTG-SESS-006)
      • 4.7.7. 会话超时测试 (OTG-SESS-007)
      • 4.7.8. 会话令牌重载测试 (OTG-SESS-008)
    • 4.8. 输入验证测试
      • 4.8.1. 反射型跨站脚本测试 (OTG-INPVAL-001)
      • 4.8.2. 存储型跨站脚本测试 (OTG-INPVAL-002)
      • 4.8.3. HTTP谓词伪造测试 (OTG-INPVAL-003)
      • 4.8.4. HTTP参数污染测试 (OTG-INPVAL-004)
      • 4.8.5. SQL注入测试 (OTG-INPVAL-005)
        • 4.8.5.1. Oracle注入测试
        • 4.8.5.2. MySQL注入测试
        • 4.8.5.3. SQL Server注入测试
        • 4.8.5.4. PostgreSQL注入测试
        • 4.8.5.5. MS Access注入测试
        • 4.8.5.6. NoSQL注入测试
      • 4.8.6. LDAP注入测试 (OTG-INPVAL-006)
      • 4.8.7. ORM注入测试 (OTG-INPVAL-007)
      • 4.8.8. XML注入测试 (OTG-INPVAL-008)
      • 4.8.9. SSI注入测试 (OTG-INPVAL-009)
      • 4.8.10. XPath注入测试 (OTG-INPVAL-010)
      • 4.8.11. IMAP/SMTP注入测试 (OTG-INPVAL-011)
      • 4.8.12. 代码注入测试 (OTG-INPVAL-012)
        • 4.8.12.1. 本地文件包含测试(LFI)
        • 4.8.12.2. 远程文件包含测试(RFI)
      • 4.8.13. 命令执行注入测试 (OTG-INPVAL-013)
      • 4.8.14. 缓冲区溢出测试 (OTG-INPVAL-014)
        • 4.8.14.1. 堆溢出测试
        • 4.8.14.2. 栈溢出测试
        • 4.8.14.3. 格式化字符串测试
      • 4.8.15. 潜伏式漏洞测试 (OTG-INPVAL-015)
      • 4.8.16. HTTP分割/伪造测试 (OTG-INPVAL-016)
    • 4.9. 错误处理测试
      • 4.9.1. 错误码分析 (OTG-ERR-001)
      • 4.9.2. 栈追踪分析 (OTG-ERR-002)
    • 4.10. 密码学测试
      • 4.10.1. 弱SSL/TLS加密,不安全的传输层防护测试 (OTG-CRYPST-001)
      • 4.10.2. Padding Oracle测试 (OTG-CRYPST-002)
      • 4.10.3. 非加密信道传输敏感数据测试 (OTG-CRYPST-003)
    • 4.11. 业务逻辑测试
      • 4.11.1. 业务逻辑数据验证测试 (OTG-BUSLOGIC-001)
      • 4.11.2. 请求伪造能力测试 (OTG-BUSLOGIC-002)
      • 4.11.3. 完整性测试 (OTG-BUSLOGIC-003)
      • 4.11.4. 过程时长测试 (OTG-BUSLOGIC-004)
      • 4.11.5. 功能使用次数限制测试 (OTG-BUSLOGIC-005)
      • 4.11.6. 工作流程绕过测试 (OTG-BUSLOGIC-006)
      • 4.11.7. 应用误用防护测试 (OTG-BUSLOGIC-007)
      • 4.11.8. 非预期文件类型上传测试 (OTG-BUSLOGIC-008)
      • 4.11.9. 恶意文件上传测试 (OTG-BUSLOGIC-009)
    • 4.12. 客户端测试
      • 4.12.1. 基于DOM跨站脚本测试 (OTG-CLIENT-001)
      • 4.12.2. JavaScript脚本执行测试 (OTG-CLIENT-002)
      • 4.12.3. HTML注入测试 (OTG-CLIENT-003)
      • 4.12.4. 客户端URL重定向测试 (OTG-CLIENT-004)
      • 4.12.5. CSS注入测试 (OTG-CLIENT-005)
      • 4.12.6. 客户端资源操纵测试 (OTG-CLIENT-006)
      • 4.12.7. 跨源资源分享测试 (OTG-CLIENT-007)
      • 4.12.8. Flash跨站测试 (OTG-CLIENT-008)
      • 4.12.9. 点击劫持测试 (OTG-CLIENT-009)
      • 4.12.10. WebSockets测试 (OTG-CLIENT-010)
      • 4.12.11. Web消息测试 (OTG-CLIENT-011)
      • 4.12.12. 本地存储测试 (Local Storage) (OTG-CLIENT-012)
  • 5. 报告编写
  • 6. 附录
    • 6.1. 附录 A: 测试工具
    • 6.2. 附录 B: 推荐读物
    • 6.3. 附录 C: 测试向量
    • 6.4. 附录 D: 编码注入
Powered by GitBook

Owasp Testing Guide v4

信息收集

信息收集测试包含下列内容:

  • 搜索引擎信息发现和侦察 (OTG-INFO-001)
  • 识别web服务器 (OTG-INFO-002)
  • web服务器元文件信息发现 (OTG-INFO-003)
  • 服务器应用应用枚举 (OTG-INFO-004)
  • 评论信息发现 (OTG-INFO-005)
  • 应用入口识别 (OTG-INFO-006)
  • 识别应用工作流程 (OTG-INFO-007)
  • 识别web应用框架 (OTG-INFO-008)
  • 识别web应用程序 (OTG-INFO-009)
  • 绘制应用架构图 (OTG-INFO-010)