测试基线
信息泄***r> robotstxt泄漏敏感信息
敏感文件信息泄漏
过时的、用于备份的或者开发文件残留
报错页面敏感信息泄漏
物理路径泄漏
明文密码本地保存
入侵痕迹残留
HTTP头信息泄漏
目录浏览
默认页面泄漏
存在可访问的管理后台入口
存在可访问的管理控制台入口
参数溢出
信息猜解
账号枚举
账号密码共用
存在弱口令
存在空口令
存在暴力破解
认证信息泄***r> 传输过程泄漏
密码前端保存
认证功能缺陷
OAuth认证缺陷
多点认证缺陷
会话管理缺陷
注销后会话未失效
会话固定
密码找回/修改漏洞
密码重置链接可预测
验证码可被穷举
session覆盖测试
凭证返回客户端
客户端校验绕过
用户账户参数修改
验证流程绕过
业务逻辑缺陷
负值反冲
正负值对冲
业务流程跳跃
业务功能滥用
短信定向转发
邮件可定向转发
业务接口调用缺陷
IMAP/SMTP注入
引用第三方不可控脚本/URL
开启危险接口
未验证的URL跳转
服务器端请求伪造(SSRF)
短信内容可控
邮件内容可控
请求重放攻击
批量提交
防护功能失效
账号弱锁定机制
图形验证码可自动获取
图形验证码绕过
短信验证码绕过
短信验证码可暴力破解
参数覆盖
关键逻辑判断前端验证
防护功能缺失
Cookie属性问题
会话失效时间过长
防护功能滥用
恶意锁定问题
短信炸弹
邮件炸弹
权限缺失
Flash 跨域访问
jsonp跨域请求
未授权访问
权限篡改
SSO认证缺陷
越权漏洞
Cookies 伪造
会话变量可控
跨站请求伪造(CSRF)
数据验证缺失
跨站脚本攻击(xSS)
FLASH跨站脚本攻击
HTTP响应分割
Host头攻击
SQL注入
NoSQL注入
LDAP注入
XML注入
XML外部实体注入(XXE)
XPATH注入
命令注入
任意文件上传
任意文件下载
文件包含漏洞
反序列化漏洞
专项漏洞
Web组件(SSL/WebDAV)漏洞
中间件相关漏洞
第三方应用相关漏洞
第三方插件相关漏洞
其它
HTTP参数污染
IP地址伪造
通配符注入
条件竞争漏洞
启用不安全的HTTP方法
京公网安备 11010502036488号