OWASP示例

基于OWASP测试指南,列举了一些示例来反映里面的内容。(干活干活XD)

|--身份鉴别管理测试
|  |--角色定义测试
|  |--用户注册过程测试
|  |  |--http://wooyun.jozxing.cc/static/bugs/wooyun-2012-013986.html
|  |  |--http://wooyun.jozxing.cc/static/bugs/wooyun-2014-087354.html
|  |--帐户权限变化测试
|  |  |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-033542.html
|  |  |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-039358.html
|  |--帐户枚举测试
|  |  |--就是通过认证的响应页面返回信息不同导致可以判断一个输入的用户名是否存在在数据库中
|  |--弱用户名策略测试
|  |  |--就是通过认证的响应页面返回信息不同导致可以判断一个输入的用户名是否存在在数据库中
|--认证测试
|  |--口令信息加密传输测试
|  |  |--http://blog.nsfocus.net/sensitive-data-clear-text-transmission/
|  |--默认口令测试
|  |  |--http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0167555.html
|  |  |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-040153.html
|  |--帐户锁定机制测试
|  |  |--看认证对于多次密码错误的处理能力,防爆破的
|  |--认证绕过测试
|  |  |--https://www.secpulse.com/archives/9539.html
|  |  |--https://wps2015.org/drops/drops/Cisco%20ASA%20Software%E8%BF%9C%E7%A8%8B%E8%AE%A4%E8%AF%81%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E.html
|  |  |--https://help.aliyun.com/knowledge_detail/37470.html
|  |--记住密码功能测试 functionality
|  |  |--http://www.geekpark.net/news/225694
|  |--浏览器缓存弱点测试
|  |  |--http://www.4hou.com/technology/7523.html
|  |--密码策略测试
|  |  |--密码强度不够,主要是使用者自己的问题
|  |--安全问答测试
|  |  |--也主要是使用者的问题,安全问题的答案容易被破解
|  |--密码重置测试
|  |  |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-021914.html
|  |  |--http://wooyun.jozxing.cc/static/bugs/wooyun-2013-018722.html
|  |--其他相关认证渠道测试
|--授权测试
|  |--目录遍历/文件包含测试
|  |  |--https://www.wooyun.pro/bugs/wooyun-2012-08484
|  |  |--http://luoq.net/ais/1191/
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=56641&sort=author_name
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=2654
|  |--授权绕过测试
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=48914
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=13410&sort=commen_text
|  |--权限提升测试
|  |  |--https://www.wooyun.pro/bugs/wooyun-2012-07026
|  |--不安全对象直接引用测试
|  |  |--https://www.wooyun.pro/bugs/wooyun-2014-066118
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=83297
|--会话管理测试
|  |--会话管理绕过测试
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=109920
|  |--Cookies属性测试
|  |  |--主要是httponly来防止js操作cookie,secure来保证http传输是加密的
|  |--会话固定测试
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=47827
|  |  |--http://xpenxpen.iteye.com/blog/1664075
|  |--会话令牌泄露测试
|  |  |--这个主要还是个人不泄露自己的cookie,以及cookie的属性来保证
|  |--跨站点请求伪造(CSRF)测试
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=3105&sort=commen_text
|  |  |--https://wooyun.shuimugan.com/bug/view?bug_no=18
|  |--登出功能测试
|  |--会话超时测试
|  |--会话令牌重载测试
|  |  |--利用一些可以往session里设置信息的页面设置一些身份信息,然后用这个session去访问一些需要身份信息的页面
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Android - 收藏集
    Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 173,821评论 25 709
  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 135,067评论 19 139
  • 论输出
    在人的一生中,总会有那么一个时间点之后,输出要大于输入。 学生时代,以学习为主,输入多,输出少,那时候也没有什么太...
    Yvonnexy阅读 303评论 0 0
  • 刘主编,你好嘢!(学会写作)书评
    (一) 余每观才士之所作,窃有以得其用心。夫其放言遣辞,良多变矣。妍蚩好恶,可得而言;每自属文,尤见其情。恒患意不...
    存凤呢姑娘黄莺阅读 1,330评论 5 9
  • 夜夜夜夜
    26岁了,活得像个囚徒,被父母挑剔着生活。可能这叫不知足,有父母管着,养着,有车开,有房子住,父母还替你供着房贷,...
    Kai_BIAN阅读 229评论 0 0