Web安全測試學習手冊
0x01 配置管理測試
傾旋的博客
遠程代碼執行
Slow HTTP DOS
點擊劫持:X-Frame-Options頭丟失
服務器啓用了不安全的HTTP方法
中間件版本信息泄露
服務器端目錄遍歷
中間件解析漏洞
IIS短文件名漏洞
應用程序未容錯
SVN文件泄露
OpenSSL心臟出血漏洞
SSL/TLS “受戒禮”漏洞
SSL POODLE漏洞
分佈式部署文件可讀
0x02 數據驗證測試
XSS跨站腳本攻擊
SQL注入
任意文件讀取
任意文件上傳漏洞
XML實體注入
代碼注入
命令注入
任意文件下載
本地文件包含
遠程文件包含
框架注入
鏈接注入
SSRF服務器請求僞造
CSRF跨站請求僞造
任意URL跳轉
JSON劫持
0x03 會話管理測試
會話固定
多次登錄錯誤鎖定機制
COOKIE未設置HTTP Only屬性
0x04 業務邏輯測試
任意用戶密碼重置
圖形驗證碼繞過
短信驗證碼繞過
短信驗證碼重放
業務流程繞過
加密算法脆弱
支付邏輯漏洞
條件競爭(HTTP併發)
前端認證繞過
0x05 身份認證測試
賬號弱口令
登錄錯誤消息憑證枚舉
空口令攻擊
垂直越權
水平越權