Web
安全测试指南
v4.1
4.2.4会查看旧的备份文件和未引用的文件,以获取敏感信息
4.2.5枚举基础设施和应用程序管理接口
4.2.7 TestHTTP具有严格的传输安全保护
4.2.8测试RIA跨域策略
4.2.11测试云存储
4.3 IdentityManagement Testi ng
4.3.2测试用户注册过程
4.3.3测试帐户配置过程
4.3.4测试的帐户枚举和可猜测的用户帐户
4.3.5弱测试或未执行的用户名策略
4.4认 证测 试
通过加密通道传输的凭据的4.4.1测试
4.4.2测试中的默认凭据
弱锁定机构的4.4.3测试
关于绕过身份验证模式的4.4.4测试
4.4.5测试可记住密码的漏洞
4.4.6测试浏览器缓存的弱点
4.4.7测试中的弱密码策略
4.4.8测试的弱安全问题的答案
4.4.9测试中的弱密码更改或重置功能
对替代通道中较弱的认证的4.4.10测试
4.5授 权测 试
4.5.1测试目录遍历文件包括
4.5.2测试以绕过授权模式
4.5.3对特权升级的测试
针对不安全的直接对象引用的4.5.4测试
4.6会议管理测试
会话管理模式的4.6.1测试
4.6.2测试Cookie的属性
针对会话固定的4.6.3测试
对暴露的会话变量的4.6.4测试
跨站点请求伪造的4.6.5测试
4.6.6注销功能测试
4.6.7测试会话超时
4.6.8Testing为会话令人困惑
4.7
输入验证测试
反射式跨站点脚本的4.7.1测试
针对存储的跨站点脚本的4.7.2测试
4.7.3Testing用于HTTP动词篡改
HTTP参数波兰的4.7.4Testing
SQL注入的4.7.5测试
