WEB应用安全检查表表格文件下载.xls

1、401、404、500；页面源文件；.svn目录往往会泄露应用程序版本信息、IP信息、物理路径等敏感信息低使用WEB漏洞扫描工具对站点页面进行爬虫测试，或手工输入错误、超长等URL，根据WEB服务器返回的错误信息进行判断通过登录页面的错误信息提示，如：用户密码错误、用户名不存在、请输入正确的用户名等，能够对用户名进行枚举低在用户登录页面输入错误用户名及密码、在密码找回页面输入任意用户名，根据返回的错误信息提示，确认存在用户枚举漏洞若对用户错误登录次数未做限制，可使用HTTP Fuzzer工具对用户口令进行暴力破解中在用户登录页面对某用户连续输入错误的用户口令，测试是否会提示登录限制提示登录页面

2、若未使用验证码技术可对用户口令进行暴力猜解，验证码在服务端未做强制刷新，或在本地使用js刷新情况下验证码均可被绕过低在用户登录失败后，测试验证码是否会自动刷新，抓包分析验证码刷新是否在服务端进行已登录用户在修改密码时，若未要求输入原密码或二次认证时，可能会被他人恶意修改低尝试修改当前用户密码，测试是否必须输入旧密码或进行手机短信等二次认证对用户登录若未设置会话超时并自动终止，当前会话可能会被他们恶意利用低测试用户空闲一定时间后，再次操作页面时，是否会被要求重新进行身份验证cookie内容处理不当，可能导致cookie欺骗、跨站、网络钓鱼等攻击，从而导致账户信息泄露中用户登陆后，使用cookie

3、查看、管理工具查看当前cookie是否包含明文密码或简单加密后的账户信息系统中部分页面对用户权限控制不严格，导致用户可以绕过当前权限访问其他用户页面获取非授权的数据信息高在提交用户参数时，使用HTTP代理软件对数据进行截断，并修改其中的用户信息为他人账号；修改当前地址栏中URL关键参数，测试能否参看、修改他人页面或数据系统中按照用户的不同级别，使用ID值来进行区分，在用户提交的数据包中，使用当前ID值来判断用户级别，对该ID值进行篡改后，可以以高权限用户身份进行操作或将当前用户加入到高权限用户组高使用HTTP代理软件将用户提交数据包进行截断，测试是否包含标识用户身份的ID值，修改当前ID为其他

4、用户组，测试是否能获取其他用户组权限系统为设置用户口令策略，部分用户为方便记忆而设置了弱口令，可以被他人轻易猜解高使用类似：账户名、123456、111111、abc123等弱口令，尝试能否利用当前用户登录成功，使用Acunetix WVS并结合弱口令字典对用户口令进行破解WEB应用对目录未作安全限制，导致在URL中直接对某目录进行访问时，不会返回403错误，而直接显示当前目录下的所有文件中在URL中直接访问站点目录名，测试是否会显示目录文件信息；使用WEB漏洞扫描工具对站点进行扫描探测当前系统管理后台是否使用了常见的管理目录名、路径，如admin、manager、admin_login.ph

5、p等中手工使用常见后台路径进行猜测；使用WEB漏洞扫描工具对站点进行爬虫及目录猜解；使用字典文件对可能存在的后台路径进行探测系统在处理某些流程中，某些环节存在设计缺陷，在逻辑上可以在某些环节直接绕过，如：短信验证码绕过、注销任意登录用户高使用HTTP代理软件将提交及返回的数据包进行截获，分析其中包含的关键字段、参数，测试能否对业务处理过程中的某些流程进行绕过系统对用户的输入信息未作任何检查及过滤，而直接输出到用户浏览器，导致跨站攻击，该漏洞常被用于：挂马、盗取cookie等攻击中在存在用户交互的页面，提交类似alert（“xss”）的跨站测试代码，测试系统是否对特殊字符进行了过滤；使用WEB漏

6、洞扫描工具进行跨站漏洞探测系统将用户输入未经检查就用于构造数据库查询，用户据此漏洞可以对数据库信息进行查询、修改、删除等操作，将导致管理员信息、用户信息直接泄露高在URL参数值后面提交类似：、and1=1、-1等注入测试语句，根据页面返回内容判断是否存在注入漏洞；使用WEB漏洞扫描工具进行SQL注入探测系统对用户提交的请求缺少正确性过滤检查，用户可提交恶意命令的参数，在系统上执行系统命令高使用WEB漏洞扫描工具对站点进行扫描，通过不断尝试修改提交参数，测试是否存在命令执行漏洞系统上传页面对用户身份未进行验证，导致任意用户可直接访问上传页面，并具有任意文件上传权限；用户登陆后具有文件上传权限，但

7、未对文件格式做严格限制，可上传恶意的脚本文件到远端主机高使用WEB漏洞扫描工具或结合字典文件对系统存在的上传页面进行探测；测试上传页面是否在服务端对文件格式有严格限制；用户登陆后查找文件上传点，测试能否上传任意文件系统使用某些危险函数去包含任意文件时，对要包含的文件来源过滤不严，用户可以构造文件路径，使程序能包含该文件，从而获取到文件内容或执行远程恶意脚本高手工在URL中对某些参数使用类似././的路径替换，测试是否能包含上级目录或系统文件；使用WEB漏洞扫描工具进行自动化扫描测试系统对外提供了文件下载功能，但文件下载对路径未做安全过滤，用户可以构造文件路径，对主机上任意文件进行下载中手工在U

8、RL使用类似././来构造文件下载路径，测试能否对主机其他文件进行下载；使用WEB漏洞扫描工具进行自动化测试支持工具AcunetixWVS、wwwscan、绿盟极光漏洞扫描器Acunetix WVS、绿盟极光漏洞扫描器手工输入验证手工输入验证Fiddler、Firefox手工输入验证手工输入验证FirefoxFiddler、FirefoxFiddler、FirefoxAcunetix WVSAcunetix WVS、绿盟极光漏洞扫描器AcunetixWVS、wwwscan、绿盟极光漏洞扫描器Fiddler、FirefoxAcunetix WVS、绿盟极光漏洞扫描器Acunetix WVS、绿盟极光漏洞扫描器Acunetix WVS、绿盟极光漏洞扫描器Acunetix WVS、绿盟极光漏洞扫描器、FirefoxAcunetix WVS、绿盟极光漏洞扫描器Acunetix WVS、绿盟极光漏洞扫描器