WEB 应用安全测试备忘单 · 安全备忘单翻译项目

# WEB 应用安全测试备忘单 > 原文：[Web Application Security Testing Cheat Sheet](https://www.owasp.org/index.php/Web_Application_Security_Testing_Cheat_Sheet) > 来源：[WEB应用安全测试备忘单](http://cheatsheets.hackdig.com/?8.htm) ## 介绍这个备忘单是一个对WEB应用程序执行黑盒测试的任务清单。 ## 目的这个清单可以当成有经验的测试老手的备忘录、结合OWASP测试指南一起使用。清单将与测试指南v4一起更新（<https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents>）。我们希望把这个备忘单做成XML文档，这样就可以使用脚本来将其转换成各种格式，如pdf、Media Wki、HTML等，这样同样使得将文档转换为某种打印格式变得容易。感谢所有给予反馈和帮助的人，如果你有任何意见或建议，欢迎提出并加入到编辑队伍中来。 ## 检查列表 ### 收集信息手动访问站点使用爬虫来抓取（手工）无法访问或隐藏的内容检查泄露信息的文件，如robots.txt, sitemap.xml, .DS_Store 检查主要的搜索引擎索引的此站点的公开内容检查不同的浏览器UA获取的内容的差异（如使用爬虫的UA访问手机站点）检查WEB应用程序的指纹（Fingerprinting）确认使用的技术确认用户角色确认应用程序的入口地址确认客户端代码确认不同的版本的差异（如web, mobile web, mobile app, web services）确认位于同一主机或业务相关的应用程序确认所有的主机名和端口确认第三方的托管内容 ### 配置管理检查常用的应用程序和管理URL 检查旧文件、备份文件和未引用文件是否存在检查支持的HTTP方法和XST漏洞（<http://www.hackdig.com/?01/hack-11.htm>）检查对文件后缀的处理检查安全HTTP头（如CSP, X-Frame-Options, HSTS，见<http://www.hackdig.com/?07/hack-4958.htm>）测试安全策略（如Flash, Silverlight, robots）在线上环境测试非生产数据或做相反的操作检查客户端代码中的敏感信息（如API keys,凭据等） ### 安全传输检查SSL版本、算法和密钥长度检查数字证书有效性检查凭据是否只通过HTTPS传输数据检查登陆表单是否只通过HTTPS传输数据检查会话令牌是否只通过HTTPS传输检查是否使用了HSTS ### 认证测试枚举用户测试认证绕过测试暴力破解保护测试密码规则的质量测试记住密码功能测试密码表单的自动完成的功能测试密码重置和找回测试密码修改流程测试验证码测试多因子认证测试注销功能测试HTTP的缓存管理（如Pragma, Expires, Max-age）测试默认登陆账号测试用户认证历史测试账号锁定和密码修改成功的通知渠道测试跨应用程序共享模式/SSO的一致性 ### 会话管理确定应用程序管理会话的方式（如将cookie tokens、url中的token）检查会话cookie的标示(httpOnly和secure) 检查会话cookie的返回（path和domain）检查会话cookie的有效期（expires和 max-age）检查会话cookie的过期失效检查会话cookie的相对超时失效检查会话cookie退出后失效测试用户是否可以同时拥有多个会话测试会话cookie的随机性确认会话令牌在登陆、角色变化和退出时的更新测试跨应用共享session会话的一致性测试会话过载（未限制会话应用范围，见：<https://www.owasp.org/index.php/Testing_for_Session_puzzling_(OTG-SESS-010)>）测试是否存在CSRF和点击劫持漏洞 ### 授权测试路径遍历测试绕过授权测试垂直访问控制问题测试水平访问控制问题测试授权检查缺失 ### 数据验证测试反射型XSS 测试存储型XSS 测试DOM型XSS 测试CSF（flash XSS）测试HTML注入测试SQL注入测试LDAP注入测试ORM注入测试XML注入（<http://www.hackdig.com/?03/hack-8921.htm>）测试XXE注入测试SSI注入(<http://www.hackdig.com/?01/hack-7955.htm>) 测试XPath注入测试XQuery注入测试IMAP/SMTP注入测试Code注入测试EL注入（<https://www.owasp.org/index.php/Expression_Language_Injection>）测试Command注入测试Overflow （堆, 栈和整形溢出）测试Format String（错误的字符串格式化）测试incubated vulnerabilities（缺陷孵化）测试HTTP Splitting/Smuggling（协议层）测试HTTP Verb Tampering（权限干涉）测试Open Redirection 测试本地文件包含测试远程文件包含比较客户端与服务端的验证规则测试NoSQL注入测试HTTP参数污染测试自动绑定（auto-binding:<https://click.apache.org/docs/user-guide/html/ch02s03.html>）测试Mass Assignment（见ror经典漏洞，<http://blog.xdite.net/posts/2012/03/05/github-hacked-rails-security/>）测试NULL/Invalid Session Cookie ### 拒绝服务测试反自动化/机器请求测试账号锁定测试HTTP 协议DoS 测试SQL通配符DoS/sleep Dos ### 业务逻辑测试功能滥用测试缺乏不可否认性（非对称加密作用）测试信任关系测试数据完整性测试指责分离 ### 密码学检查应加密数据是否加密根据上下文检查是否使用了错误的算法检查使用弱算法检查是否合理使用盐检查随机函数（的随机性） ### 风险功能—文件上传检查可接受的文件类型是否在白名单内检查文件尺寸限制、上传频率和总文件数的阈值与限制情况检查文件内容是否与定义的文件类型相符检查所有上传的文件都经过杀毒软件扫描检查不安全的文件名是否经过处理检查不能在web根目录下直接访问上传文件检查上传的文件是否存储在相同的主机名和端口检查文件和其他媒体继承了身份验证和授权功能 ### 风险功能—支付信息测试WEB服务器或应用程序是否存在已知漏洞和配置问题测试默认或易被猜到的密码测试生产环境的非生产数据或做相反的测试测试注入漏洞测试缓冲区溢出测试不安全的加密存储测试传输层保护不足测试不适当的错误处理测试CVSS v2 评分> 4.0的全部漏洞测试身份验证和授权的问题测试CSRF ### HTML 5 测试WEB消息传递测试WEB本地存储SQL注入检查CORS的实现检查离线的WEB应用程序 ## 其他格式 DradisPro模板格式 [on github](https://github.com/raesene/OWASP_Web_App_Testing_Cheatsheet_Converter/blob/master/OWASP_Web_Application_Testing_Cheat_Sheet.xml) Asana在[Templana](http://templana.com/templates/owasp-website-security-checklist/)的格式（感谢Bastien Siebman） ## 作者与主编 [Simon Bennetts](https://www.owasp.org/index.php/User:Simon_Bennetts) [Rory McCune](https://www.owasp.org/index.php/User:Raesene) Colin Watson Simone Onofri 包括Testing Guide v3的全部作者 ## 其他贡献者 [Ryan Dewhurst](https://www.owasp.org/index.php/User:Ryan_Dewhurst) [Amro AlOlaqi](https://www.owasp.org/index.php/User:Amro_Ahmed) 翻译 TaoGOGO