进度统计
已完成任务:
0
/
0
完成进度:
0%
配置不当
▼
检查网站备份文件和配置文件路径,是否有敏感信息泄露
确保安全 HTTP标头(例如 CSP、X-Frame-Options、HSTS)正确配置
敏感信息泄露(检查API接口和变量参数,遍历ID获取用户敏感信息)
Github 泄露应用程序的源码和用户凭证(JS、报错、html)
云文档泄露网站运维信息和使用手册(例如语雀、百度文库)
检查客户端代码中的敏感数据(例如 API 密钥、凭据)
SSL/TLS安全
▼
验证使用的SSL/TLS版本,确保为最新版本
确保所有凭据通过HTTPS传输
确认启用了HTTP严格传输安全(HSTS)
认证机制
▼
检查默认凭证和查找硬编码登陆
检查用户枚举,防止泄露用户存在信息
检查暴力破解保护措施
测试可否绕过认证机制
测试密码重置/恢复流程的安全性
测试CAPTCHA的有效性和绕过可能性
会话管理
▼
检查会话Cookie标志(httpOnly、secure)是否存在
检查Cookie时效,注销登录后凭证是否失效
会话固定(测试用户登录前后SESSIONID是否一样,是否可以同时进行多个会话)
测试CSRF和点击劫持(Burp)
访问控制
▼
未授权访问(JS代码泄露API接口路径,并且不需要登录即可访问)
测试路径遍历漏洞
检查垂直越权问题(特权升级)
检查水平越权问题(访问其他用户数据)
文件操作
▼
任意文件上传
注册时需要上传证件
登录后有上传点
未授权的上传接口
任意文件下载
修改下载文件的地址为系统内敏感文件(路径遍历)
OWASP TOP10
▼
SQL注入
有数据交互的输入框
数据查询参数变量(ID=-1')
可控的HTTP Header
遇到Asp和PHP的网站,在以上位置用BurpSuite Fuzz Payload
XSS跨站脚本攻击
可控的前端输出点
用BurpSuite Fuzz XSS Payload
XXE外部实体注入
引入外部实体的XML点
用BurpSuite Fuzz Payload
CSRF客户端请求伪造
登录后修改信息
用BurpSuite Fuzz Payload
SSRF服务端请求伪造
远程图片上传
用户注册填写远程地址
输入网址转换成标题
任何带有URL参数的地方都值得一试
逻辑漏洞
▼
注册功能
任意用户注册(不设注册条件)
用户名枚举(网站返回用户已存在)
注册覆盖(可注册重复的用户名)
短信炸弹(不限制验证码获取时间间隔)
登录功能
登录绕过(本地验证,修改响应包绕过登录验证,false->true)
验证码无效(验证码使用一次不过期、其他登录接口不需要验证码)
用户密码暴力破解(用户凭证明文传输,或加密算法简单)
Token可预测(token生成规则简单可爆破,比如基于username、id关键字段或时间戳生成)
登录账号后
水平越权(遍历ID泄露其他人的敏感信息)
垂直越权(观察cookie中的session字段,可能某些字段或者参数代表身份,修改后获得管理权限)
忘记密码
任意密码修改(不验证旧密码)
水平越权(根据user ID越权修改他人密码)
跳步找回(找回3步,最后一步有user参数,用自己账号到第二步,第3步修改user参数跳过验证)
找回密码的手机号可修改(用可控的手机号码修改别人的密码)
本地验证,修改HTTP返回值(同登录绕过)
用户名枚举(网站返回用户不存在)
支付逻辑
修改订单价格(最小支付1元,最大支付2147483648元整数溢出)
修改支付状态(观察参数把商品状态改为已付款)
修改购买商品(用10元商品的数据包去买1000元的商品)
修改商品数量(把商品数量改成-1,实现0元购)
收货地址遍历(更改用户参数,越权查看他人的收货地址)
By
WgpSec
@wintrysec