目录
一. 概述 8
1.1 编写目的 8
1.2 适用范围 8
1.3 注意事项 8
二. Web应用安全测试指南 8
2.1 信息泄漏 8
2.1.1 robots.txt泄漏敏感信息 8
2.1.2 敏感文件信息泄漏 10
2.1.3 过时的、用于备份的或者开发文件残留 11
2.1.4 报错页面敏感信息泄漏 12
2.1.5 物理路径泄漏 13
2.1.6 明文密码本地保存 14
2.1.7 入侵痕迹残留 14
2.1.8 HTTP头信息泄漏 15
2.1.9 目录浏览 15
2.1.10 默认页面泄漏 16
2.1.11 存在可访问的管理后台入口 17
2.1.12 存在可访问的管理控制台入口 18
2.1.13 参数溢出 23
2.1.14 任意文件下载 24
2.2 信息猜解 26
2.2.1 邮件内容中请求链接可预测 26
2.3 数据猜解 27
2.3.1 账号枚举 27
2.3.2 账号密码共用 28
2.4 认证信息泄漏 28
2.4.1 传输过程泄漏 28
2.4.2 会话变量泄漏 29
2.5 认证信息猜解 30
2.5.1 存在弱口令 30
2.5.2 存在暴力破解 31
2.6 认证功能失效 33
2.6.1 存在空口令 33
2.6.2 认证绕过 33
2.6.3 Oauth认证缺陷 35
2.6.4 IP地址伪造 36
2.7 认证功能滥用 37
2.7.1 多点认证缺陷 37
2.7.2 会话固定 38
2.8 业务逻辑篡改 40
2.8.1 密码修改/重置流程跨越 40
2.8.2 负值反冲 40
2.8.3 正负值对冲 41
2.8.4 业务流程跳跃 42
2.9 业务功能失效 43
2.9.1 通配符注入 43
2.10 业务功能滥用 44
2.10.1 短信定向转发 44
2.10.2 邮件可定向转发 45
2.10.3 业务接口调用缺陷 45
2.10.4 IMAP/SMTP注入 46
2.10.5 引用第三方不可控脚本/URL 48
2.10.6 开启危险接口 49
2.10.7 未验证的URL跳转 49
2.10.8 服务器端请求伪造(SSRF) 51
2.10.9 短信内容可控 55
2.10.10 邮件内容可控 56
2.10.11 请求重放攻击 56
2.10.12 批量提交 57
2.11 防护功能失效 58
2.11.1 账号弱锁定机制 58
2.11.2 图形验证码可自动获取 58
2.11.3 图形验证码绕过 59
2.11.4 短信验证码绕过 60
2.11.5 短信验证码可暴力破解 61
2.11.6 参数覆盖 62
2.11.7 关键逻辑判断前端验证 65
2.12 防护功能缺失 66
2.12.1 Cookie属性问题 66
2.12.2 会话重用 68
2.12.3 会话失效时间过长 69
2.13 防护功能滥用 69
2.13.1 恶意锁定问题 69
2.13.2 短信炸弹 70
2.13.3 邮件炸弹 71
2.14 权限缺失 72
2.14.1 Flash跨域访问 72
2.14.2 jsonp跨域请求 75
2.14.3 未授权访问 76
2.15 权限篡改 79
2.15.1 任意用户密码修改/重置 79
2.15.2 SSO认证缺陷 81
2.15.3 越权 82
2.15.4 Cookies伪造 84
2.15.5 会话变量可控 85
2.15.6 跨站请求伪造(CSRF) 85
2.16 综合利用 90
2.16.1 跨站脚本攻击(XSS) 90
2.16.2 FLASH跨站脚本攻击 103
2.16.3 HTTP响应分割 104
2.16.4 HTTP参数污染 107
2.16.5 Host头攻击 108
2.16.6 SQL注入 110
2.16.7 NoSQL注入 114
2.16.8 LDAP注入 117
2.16.9 XML注入 118
2.16.10 XXE 120
2.16.11 XPATH注入 121
2.16.12 命令注入 124
2.16.13 任意文件上传 126
2.16.14 反序列化漏洞 129
2.17 专项漏洞 130
2.17.1 Web组件(SSL/WebDAV)漏洞 130
2.17.2 中间件相关漏洞 132
2.17.3 第三方应用相关漏洞 134
2.17.4 第三方插件相关漏洞 137
2.17.5 开发框架 138
2.17.6 通用型系统 141
三. 致谢 142
附录A 漏洞分类依据 143
附录B 名词解释 143
附录C 风险等级依据 144