owasp web应用安全测试清单

信息收集：手动浏览站点

用于查找丢失或隐藏内容的爬行器

检查是否存在公开内容的文件，如robots.txt、sitemap.xml、.DS_Store检查主要搜索引擎的缓存中是否存在可公开访问的站点

检查基于用户代理的内容差异（例如，移动站点、作为搜索引擎爬虫的访问）

执行Web应用程序指纹

识别使用的技术识别用户角色

确定应用程序入口点

识别客户端代码

识别多个版本/渠道（例如web、移动web、移动应用程序、web服务）

确定共同托管和相关的应用程序

识别所有主机名和端口

识别第三方托管的内容

配置管理：

检查常用的应用程序和管理URL

检查旧文件、备份文件和未引用文件

检查支持的HTTP方法和跨站点跟踪（XST）

测试文件扩展名处理

测试安全HTTP头（例如CSP、X-Frame-Options、HST）

政策测试（例如flash、Silverlight、机器人）

在实时环境中测试非生产数据，反之亦然

检查客户端代码中的敏感数据（例如API密钥、凭据）

安全传输：

检查SSL版本、算法、密钥长度

检查数字证书的有效性（过期时间、签名和CN）

检查仅通过HTTPS传递的凭据

检查登录表单是否通过HTTPS传递

检查仅通过HTTPS传递的会话令牌

检查是否正在使用HTTP严格传输安全性（HSTS）

身份验证：

用户枚举测试

身份验证旁路测试

强力保护试验

测试密码质量规则

测试“remember me”功能

密码表单/输入上的自动完成测试

测试密码重置和/或恢复

测试密码更改过程

测试验证码

测试多因素身份验证

测试是否存在注销功能

HTTP上的缓存管理测试（例如Pragma、Expires、Max age）

测试默认登录名

测试用户可访问的身份验证历史记录

测试帐户锁定和成功更改密码的通道外通知

使用共享身份验证架构/SSO测试应用程序之间的一致身份验证

会话管理：

确定应用程序中如何处理会话管理（例如，Cookie中的令牌、URL中的令牌）

检查会话令牌的cookie标志（httpOnly和secure）

检查会话cookie作用域（路径和域）

检查会话cookie持续时间（过期和最长期限）

在最长生存期后检查会话终止

检查相对超时后的会话终止

注销后检查会话终止

测试用户是否可以同时拥有多个会话

随机性测试会话cookie

确认在登录、角色更改和注销时发布了新会话令牌

使用共享会话管理跨应用程序测试一致的会话管理

会话困惑测试

CSRF和clickjacking测试

Authorization：

路径遍历测试

绕过授权架构的测试

垂直访问控制问题测试（又称权限提升）

水平访问控制问题测试（在相同权限级别的两个用户之间）

缺少授权的测试

数据安全测试：

反射式跨站点脚本测试

测试存储的跨站点脚本

基于DOM的跨站点脚本测试

跨场地泛水试验

HTML注入测试

SQL注入测试

LDAP注入测试

ORM注射试验

XML注入测试

XXE注射试验

SSI注入试验

XPath注入测试

XQuery注入测试

IMAP/SMTP注入测试

代码注入测试

表达式语言注入测试

命令注入测试

溢出测试（堆栈、堆和整数）

测试孵化的漏洞

HTTP拆分/走私测试

HTTP动词篡改测试

开放重定向测试

本地文件包含测试

远程文件包含测试

比较客户端和服务器端验证规则

NoSQL注射试验

HTTP参数污染测试

自动绑定测试

质量分配测试

测试是否存在空/无效的会话Cookie

拒绝服务测试：

反自动化测试

帐户锁定测试

HTTP协议DoS测试

SQL通配符DoS的测试

业务逻辑：

功能误用测试

不可否认性测试

信任关系测试

数据完整性测试

测试职责分离

加密技术：

检查应加密的数据是否未加密

根据上下文检查错误的算法用法

检查弱算法的使用情况

检查是否正确使用salt

检查随机性函数

风险功能-文件上传：

测试文件大小限制、上载频率和文件总数是否已定义并强制执行

测试文件内容是否与定义的文件类型匹配

测试所有文件上传是否有防病毒扫描。

测试是否清除了不安全的文件名

测试上载的文件在web根目录中不能直接访问

测试上传的文件是否不在同一主机名/端口上提供

测试文件和其他媒体是否与身份验证和授权模式集成

风险功能-支付：

测试Web服务器和Web应用程序上的已知漏洞和配置问题

测试默认密码或可猜测密码

在实时环境中测试非生产数据，反之亦然

测试注入漏洞

缓冲区溢出测试

不安全加密存储的测试

测试传输层保护是否不足

测试错误处理是否不当

测试CVSS v2分数>4.0的所有漏洞

验证和授权问题的测试

CSRF测试

HTML 5:

测试Web消息传递

Web存储SQL注入测试

检查CORS的实现

检查脱机Web应用程序