目录:
摘要 1
1 渗透测试说明 2
1.1 测试时间 2
1.2 测试人员 2
1.3 测试范围 2
2 渗透测试工作内容 2
2.1 渗透测试方法 2
2.2 渗透测试工具 3
2.3 测试漏洞种类 3
3 渗透测试漏洞细节 5
3.1 身份验证类 5
3.1.1 用户注册 5
3.1.1.1 功能截图 5
3.1.1.2 测试类型 5
3.1.2 用户登录 6
3.1.2.1 功能截图 6
3.1.2.2 测试类型 6
3.1.3 修改密码 6
3.1.4 密码重置 6
3.1.5 验证码绕过 6
3.1.6 用户锁定功能 7
3.2 会话管理类 7
3.2.1 Cookie重放攻击 7
3.2.2 会话令牌分析 7
3.2.3 会话令牌泄露 7
3.2.4 会话固定攻击 7
3.2.5 跨站请求伪造 7
3.3 访问控制类 7
3.3.1 功能滥用 7
3.3.2 垂直权限提升 7
3.3.3 水平权限提升 7
3.4 输入处理类 7
3.4.1 SQL注入 7
3.4.2 文件上传 7
3.4.3 任意文件下载 8
3.4.4 XML注入 8
3.4.5 目录穿越 8
3.4.6 SSRF 8
3.4.7 本地文件包含 8
3.4.8 远程文件包含 8
3.4.9 远程命令/代码执行 8
3.4.10 反射型跨站脚本 8
3.4.11 存储型跨站脚本 8
3.4.12 DOM-based跨站脚本 8
3.4.13 服务端URL重定向 8
3.5 信息泄露类 8
3.5.1 Error Code 8
3.5.2 Stack Traces 9
3.5.3 敏感信息 9
3.6 第三方应用类 9
3.6.1 中间件 9
3.6.2 CMS 9
附录-漏洞评定标准 10
A漏洞评级标准 10
B综合风险评级标准 11部分预览:
下载链接:
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容