web渗透测试用例

编号,漏洞分类,漏洞名称,漏洞描述,场景描述,风险程度,专项漏洞类别建议,备注,

1,配置管理测试,FTP匿名访问,FTP匿名登录，用户名：anonymous密码：空或任意Email地址,存在外网匿名访问，但已禁用读/写权限,低,无,,

,,,,存在外网匿名访问，可读不可写,中,无,,

,,,,存在外网匿名访问，且开放读/写权限,高,网站篡改类,,

3,,中间件配置缺陷,中间件默认的或不安全的配置,管理页面可访问但无法执行危险操作,低,无,,

,,,,可直接管理应用或可获取shell,高,网站篡改类,,

4,,SSL/TLS算法缺陷,主要包括密文破解、缓存信息泄露、拒绝服务等攻击,使用SHA1或密钥长度低于256bit算法。,中,信息泄露类,,

5,,开启危险接口,开启可利用的危险接口，如获取订单信息、用户身份信息等,公网直接无认证调用接口,高,信息泄露类,如：验证码生成接口，可自定义验证码的值，WebService,

,,,,存在特权、非正常用户不可知但可利用接口,高,信息泄露类,,

6,,开启危险端口,危险端口对公网开放，如22、1433、1521、3306、3389等,公网系统，开启端口，且可探测服务信息,低,无,,

,,,,公网系统，开启端口，且可进一步使用该端口提供的服务,高,？,,

7,,解析漏洞,低版本的中间件存在解析漏洞，可上传webshell,未配置合理的脚本解析，或限制可被绕过导致恶意脚本被解析getshell,高,网站篡改类,,

8,,目录浏览,web服务器设置允许目录浏览,目录可以浏览，未泄露包含密码、个人信息等敏感文件,中,信息泄露类,,

,,,,目录可以浏览，泄露包含密码、个人信息等敏感文件,高,信息泄露类,,

9,,默认管理控制台/后台管理系统检测,默认的管理控制台或后台管理系统入口未限制访问，或能够登陆管理控制台/后台管理系统,可访问默认管理控制台/后台管理系统，但无法执行危险操作,低,无,,

,,,,可访问默认管理控制台/后台管理系统，并成功登录，但无法获取shell,中,网站篡改类,,

,,,,0,高,网站篡改类,,

10,,默认页面检测,默认安装中间件、插件、框架等会携带示例页面及说明文档,存在默认页面，未泄露敏感信息或泄露低风险敏感信息,低,无,,

,,,,存在默认页面，泄露中风险敏感信息,中,信息泄露类,,

,,,,存在默认页面，泄露高风险敏感信息（如：tomcat的examples目录）,高,信息泄露类,,

11,,测试页面检测,开发测试页面,测试页面功能失效,低,无,,

,,,,测试页面可通过执行不同的业务流程而完成正常业务操作,高,网站篡改类,,

12,,过时的、用于备份的以及未被引用的文件,应用遗留的备份页面、渗透测试遗留文件、未被使用的文件以及svn文件,存在过时的、用于备份的以及未被引用的文件，未泄露敏感信息且页面功能失效,低,无,,

,,,,存在过时的、用户备份的以及未被引用的文件，泄露中风险敏感信息且页面功能失效我我,中,信息泄露类,,

,,,,存在过时的、用于备份的以及未被引用的文件，泄露高风险敏感信息或可通过执行不同的业务流程而完成正常业务操作,高,网站篡改类/信息泄露类,,

13,,非安全的http方法,开启可利用的危险方法，如DELETE、PUT、MOVE等,存在OPTIONS、TRACE方法,低,无,,

,,,,存在可利用的PUT、DELETE方法。,高,网站篡改类,,

14,,引用第三方不可控脚本/URL,页面中引用了不可控的脚本或超链接,存在不可控外链或脚本，但可提供审批记录,中,无,引用的js文件可与提供者之间有明确的授权证明。,

,,,,存在不可控外链或脚本，且未经过审批,高,？,,

15,,Flash跨域访问,Flash跨域策略文件crossdomain.xml设置允许跨域访问,allow-access-from属性为*,低,无,,

,,,,allow-http-request-headers-from属性为*,低,无,,

,,,,site-control标签的permitted-cross-domain-policies属性为all,低,无,,

,,,,可获取数据,中,信息泄露类,,

16,,jsonp跨域请求,允许使用jsonp跨域请求,可获取普通数据,中,信息泄露类,,

,,,,可获取敏感数据,高,信息泄露类,,

17,身份管理测试,用户名复杂度,应用系统账户复杂度不符合要求，使用admin、administrator、root、system等简单易被猜解的用户名作为登录名,存在复杂度较低的用户名（必须要验证存在root/admin/administrator/super==用户名）,低,无,,

18,,弱口令,认证登陆环节存在弱口令,存在弱口令,高,？,,

,,空口令攻击,认证登陆环节允许空口令,存在空口令,高,？,,

19,,账号枚举测试,账号是否存在可以通过系统返回的错误提示进行猜测,可通过返回关键字对系统可用账号进行枚举,低,无,,

20,,账号密码共用,不同业务系统的用户名及密码有重复,同样的账户名密码可以在多个系统上登录,低,无,,

,,,,不同用户名使用相同初始密码，且第一次登陆未强制密码修改或强制修改机制可绕过继续使用初始密码,高,撞库/爆破类,,

,,,,多台服务器的后台或其他服务口令相同,高,撞库/爆破类,这里是指如果我通过某种方法获取了某个系统的账户密码，拿到其他系统去登陆，也能登陆成功。,

21,认证管理测试,恶意锁定,通过不断的输入错误的密码可恶意锁定任意账号,锁定账户之后，可继续使用认证功能，但认证存在防自动化功能,低,无,如：登陆时候错误5次锁定账户，但是不封IP，就可以恶意锁定别人的账户。,

,,,,锁定账户之后，可继续使用认证功能，导致可批量自动化账户锁定,中,无,,

22,,弱锁定机制,系统帐号锁定时间太短,账户在多次尝试失败后锁定时间低于3分钟,低,无,,

23,,Oauth认证缺陷,Oauth认证不完全，可越权登录他人账户,可导致用户资源任意访问或任意账户登陆或用户密码获取,高,越权类,,

24,,多点认证缺陷,系统允许多点认证,核心系统允许多点登录,中,无,,

,,,,多点登录架构可被绕过,高,？,,

25,,未授权访问,跳过登录页面直接访问需要认证通过后才能访问的内部网页,认证模式可绕过，不登录即可通过URL或其他方式访问登陆后页面,高,？,,

26,,密码规则检查,检查密码复杂度是否满足要求，通常情况下要求口令的复杂度是：至少8位，至少包含数字、大写、小写、符号中的三种,用户名口令的复杂度不符合要求,低,无,,

,,,,无口令复杂度校验,高,无,,

27,,图形验证码可自动化识别,图形验证码过于简单，可使用工具自动化识别,图像验证码生成算法简单，可被工具自动化识别,中,撞库/爆破类,,

28,,图形验证码绕过,图形验证码可被绕过,验证码可多次使用、发现特权验证码、前端校验、返回验证码、返回带有验证码信息的图片,高,撞库/爆破类,,

29,,暴力破解,登录模块无验证码或二次认证，可暴力破解,可暴力破解出密码,高,撞库/爆破类,,

,,,,存在暴力破解风险，但未暴破出密码,中,无,,

30,,短信定向转发,检查短信接收人是否可任意指定,短信接收人可任意指定,高,无,,

31,,短信内容可控,短信内容可从客户端指定,短信内容可控，但接受人不可控,中,无,,

,,,,短信内容可控，且接收人可任意指定,高,无,,

32,,短信验证码绕过,短信验证码可被绕过,验证码可多次使用或发现特权验证码,高,撞库/爆破类,,

33,,短信验证码可暴力破解,短信验证码位数太短或有效期太长导致可暴力破解,其他场景均适用,低,撞库/爆破类,"（1）手机短信验证码不小于6位

（2）短信验证码有效期不大于1分钟，且不可重复使用",

,,,,手机短信验证码小于6位、有效期大于1分钟、验证错误次数无限制,高,撞库/爆破类,,

34,,任意用户密码重置,可通过篡改用户名或ID等方式重置任意账户的密码,其它用户的密码被重置成功,高,越权类,,

35,,密码重置/修改流程跨越,绕过验证步骤直接重置密码,绕过原密码验证或绕过验证码,高,？,,

36,,短信炸弹,应用系统未限制手机短信的发送次数和频率,只可对当前手机号轰炸,中,无,,

,,,,可对任意手机号轰炸,高,无,,

37,,邮件炸弹,应用系统未限制邮件的发送次数和频率,只可对当前邮箱轰炸,中,无,,

,,,,可对任意邮箱轰炸,高,无,,

38,,邮件定向转发,邮件接收人可任意指定,邮件收件人可任意指定,高,无,,

39,,邮件内容可控,客户端可控制邮件内容,邮件内容可控，但收件人地址不可控,中,无,,

,,,,邮件内容可控，且收件人可任意指定,高,无,,

40,,邮件内容中请求链接可预测,邮件中的重置密码等链接可预测,存在需要收件人点击确认的链接中，无安全随机数，或token简单可预测,高,无,,

41,,邮件伪造,可伪造发送人发送邮件,spf值为空，且可伪造域名账户发送邮件成功,高,无,,

43,授权管理测试,URL跳转,通过篡改URL跳转参数可跳转至任意网址,URL跳转参数可控，且未对参数做白名单限制导致任意地址跳转可被利用钓鱼,高,无,,

44,,SSRF,服务端提供从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。,无回显，但可访问外网（可能存在Dos利用,中,信息泄露类,,

,,,,有回显，可探测内网，文件访问,高,信息泄露类,,

45,,越权测试,应用未校验用户权限，可越权增删改查他人功能或数据,任意水平或垂直越权,高,越权类,,

46,会话管理测试,cookie伪造,通过伪造cookie绕过认证或授权管理,伪造cookie后，成功进入业务系统或获取用户权限,高,无,,

47,,明文传输,明文传输密码等敏感信息,传输数据包含明文密码、链接、明文身份证、明文地址等其他敏感信息,中,信息泄露类,传输数据不包含明文密码、链接、明文身份证、明文地址其他敏感信息,

48,,会话变量可控,会话中的参数可由客户端控制,会话中存在字段是由可控参数生成,中,无,,

49,,过长的会话失效时间,会话失效时间过长,公网系统会话失效时间超过30分钟,低,无,,

50,,会话重用,账户退出系统后会话任何使用,关闭浏览器后或退出后返回之前页面会话依然有效,高,无,,

51,,会话固定,会话固定是攻击者事先访问系统并建立一个会话，诱使受害者使用此会话登录系统，然后攻击者再使用该会话访问系统即可登录受害者的账户的一种攻击方式。,会话可由攻击者建立后发给受害者使用该会话登录系统，然后攻击者利用该会话即可登录受害者账户,中,无,,

52,,Cookies属性测试,"检查Cookie的Secure、HttpOnly、Domain、Path和Expires属性

1、Secure属性，当cookie包含敏感信息或者当cookie是会话令牌时，应该使用使用加密渠道发送这个cookie。例如，登录应用程序后，使用cookie设置会话令牌，然后验证是否使用“;secure”标识。如果没有，浏览器会认为能安全通过HTTP等未加密渠道。

2、HttpOnly属性，即使部分浏览器不支持此属性，但应该使用使用这个属性。这个属性能防止客户端脚本使用该cookie，加强cookie的安全。因此请检测是否设置了HttpOnly属性。

3、Domain属性，确认Domain没有设置的过于松散。如上所述，只应该将Domain设置为设置接收该cookie的服务器。例如：如果应用存在于服务器上，那么他应该被设置成“;domain=”而不能设置成“;domain=.”，因为这种设置会允许其他存在漏洞的服务器接收到cookie。

4、Path属性，确认Path属性如Domain属性一样没有设置的过于松散。即使Domain属性配置的足够严格，但如果Path是设置在根目录“/”下，它同样会允许其他存在漏洞的应用接收到该cookie。例如：如果应用程序存在于/myapp/，并且确认cookie路径设置为“;path=/myapp/”，而不是设置为“;path=/”或“;path=/myapp”。注意在myapp之后必须使用“/”。如果没有使用，浏览器将cookie发送给任何匹配“myapp”的路径，如“myapp-exploited”。

5、Expires属性，如果该属性被设置成将来的一个时间，就要确认它不包含任何敏感信息。例如如果cookie设置为“;expires=Fri,13-Jun-201513:00:00GMT”（2015年6月13日）,而当前时间是2014年12月12日，接下来就得检测该cookie。如果cookie是存储在用户硬盘中的会话令牌，那么有权限读取这个cookie的攻击者或本地用户（如管理员）就能在截止日期前通过重复提交这个令牌进入应用程序。",扫描报告中存在未设置HttpOnly或Secure属性,低,无,,

,,,,Domain或者Path设置路径不合理,低,无,,

53,,身份标识,应用登录操作是否进行身份标识和鉴别，确保会话标识随机并且唯一，严禁匿名登录,会话标识存在可预见性规律,高,无,token，sessionid,

54,,Web应用密码保存在页面的隐藏域中,登录、验证等页面的隐藏域中存在密码信息,隐藏域中存在密码等信息,高,信息泄露类,,

55,输入验证测试,跨站脚本攻击,攻击者向Web页面里插入恶意的脚本代码（如javascript脚本），当用户浏览该Web页面时，嵌入其中的脚本代码会被执行，达到攻击用户的目的。,应用中存在反射型跨站,中,无,,

,,,,应用中存在存储型跨站,高,网站篡改类,,

56,,内容校验限制绕过,上传文件时绕过内容校验限制上传webshell,对上传文件内容进行编码转换或其他操作绕过限制完成上传,高,网站篡改类,,

57,,扩展名限制绕过,绕过文件扩展名检测,黑名单限制，且可上传被解析脚本,高,网站篡改类,,

58,,参数覆盖,使用同名参数对原参数进行覆盖,同名参数绕过filter或其他规则,高,无,,

59,,Host头攻击,Web应用程序获取网站域名依赖HTTPheader中的Host字符（比如在JSP里通过request.getHeader()获取），通过篡改host字段可导致Host头攻击,请求数据包包中host值直接拼接到生成链接中,高,无,,

60,,CSRF测试,攻击者盗用受害者的身份，以受害者的名义发送恶意请求。,普通系统关键操作（账户操作，审批确认……,中,网站篡改类,,

,,,,核心系统关键操作（账户操作，审批确认……,高,网站篡改类,,

61,,参数溢出,输入超长字符串导致溢出，引发拒绝服务等攻击,超长参数导致服务器报错引发崩溃拒绝服务,高,无,,

62,,HTTP参数污染测试,网站对于客户端提交的相同参数的不同处理方式导致HTTP参数污染,参数化URL加测试语句后，网页跳转到不同的正确页面,中,无,,

63,,FLASH跨站脚本测试,在Flash文件中插入脚本，在播放flash文件的时候脚本被触发，然后通过脚本获取用户的敏感信息或者打开具有网页木马的URL页面从而实现攻击。,手工测试浏览器弹窗,高,网站篡改类,,

64,,通配符注入,允许使用通配符构造语句查询数据库,通配符注入引发数据库响应缓慢,中,无,,

65,,NoSQL注入,应用未过滤用户输入，存在注入攻击，常见的有MongoDB注入,内网系统，注入只可获取服务器端基本信息,低,无,,

,,,,存在注入，只可获取服务器端基本信息,中,信息泄露类,,

,,,,存在注入，并可获取数据或操作数据或登陆,高,信息泄露类,,

66,,SQL注入攻击,注入攻击是指将特定的代码或命令与正常的数据共同提交到服务器端，服务器在执行正常操作的同时，攻击者提交的恶意命令代码被同时接收并执行,内网系统，SQL注入只可获取服务器端信息和数据库列表,低,无,,

,,,,存在SQL注入，只可获取服务器端信息和数据库列表,中,信息泄露类,,

,,,,存在SQL注入，并可获取数据库表及更深入信息,高,信息泄露类,,

67,,LDAP注入,Web应用在构造和将查询发送给服务器前未净化用户传入的参数，导致攻击者可构造LDAP查询语句进行注入,存在LDAP注入，且手工加入payload，页面返回敏感信息，或登陆页面被绕过,高,信息泄露类,,

68,,XML注入,通过构造XML查询格式进行注入,批量数据提交并成功被解析,中,网站篡改类/信息泄露类,,

,,,,额外数据字段注入导致权限提升或原始数据修改,高,提权类/网站篡改类,,

69,,XXE,应用允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。,实体注入可读取服务器文件或执行命令,高,信息泄露类,,

70,,Xpath注入,XPath注入攻击是指利用XPath解析器的松散输入和容错特性，能够在URL、表单或其它信息上附带恶意的XPath查询代码，以获得权限信息的访问权并更改这些信息。,通过构造Xpath查询语句进行注入，操作XML数据,高,信息泄露类,,

71,,SSI注入,SSI是在网页内容被返回给用户之前，服务器会执行网页内容中的SSI标签。在很多场景中，用户输入的内容可以显示在页面中，比如一个存在反射XSS漏洞的页面，如果输入的payload不是xss代码而是ssi的标签，服务器又开启了ssi支持的话就会存在SSI漏洞,可成功实现文件读取，命令执行,高,信息泄露类,http://xdxd.love/2015/12/09/ssi%E6%BC%8F%E6%B4%9E%E4%BB%8B%E7%BB%8D/?utm_source=tuicool&utm_medium=referral,

72,,IMAP/SMTP注入,"电子邮件注入允许恶意攻击者注入任何邮件头字段,BCC、CC、主题等,它允许黑客通过注入手段从受害者的邮件服务器发送垃圾邮件。",可成功发送垃圾邮件,高,无,"/articles/web/14918.html

/ffm83/article/details/44224631",

,,,,可成功劫持密码找回等信息,高,信息泄露类,,

73,,任意文件上传,应用未验证文件的合法性，导致上传任意文件,成功上传恶意脚本文件，并成功解析并具有webshell功能,高,网站篡改类,,

74,,文件包含,服务器通过php的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件,可包含文件成功getshell或读取文件,高,信息泄露类,,

75,,HTTP响应分割,Web应用程序未对用户提交的数据进行严格过滤和检查，导致攻击者可以提交一些恶意字符，如对用户输入的CR和LF字符没有进行严格的过滤。,可成功实现XSS，会话固定,中,无,HTTP响应头拆分攻击是一种新型的Web攻击方式，它产生了很多安全漏洞，如Web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞等。这种攻击方式与其衍生的一系列技术的产生，是由于Web应用程序未对用户提交的数据进行严格过滤和检查，导致攻击者可以提交一些恶意字符，如对用户输入的CR和LF字符没有进行严格的过滤。,

76,,命令注入,通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。,成功执行系统命令或脚本命令,高,信息泄露类,,

,,任意文件下载,通过./、../、.._等目录控制字符构造下载文件的路径从而下载任意文件,各场景通用,高,信息泄露类,从配置管理测试移动至此,

77,信息泄露测试,敏感信息泄露,应用程序使用默认的报错页面或未进行异常处理泄漏敏感信息或应用泄露密码、邮箱、内网等其他信息。,页面中存在低风险信息,低,无,"1、服务器、应用版本信息、部分源代码、内网信息

2、未公开邮箱

……",应用程序报错页面中泄漏敏感信息修改成敏感信息泄露

,,,,页面中存在中风险信息,中,信息泄露类,"1、绝对路径

2、SQL语句

3、IP地址

……",

,,,,页面中存在高风险信息,高,信息泄露类,"1、应用配置信息

2、密码等相关敏感信息

……",

78,,明文密码本地保存,密码在本地保存,明文密码保存在本地客户端,高,信息泄露类,,

79,逻辑测试,异步校验,后续操作完全依赖前置校验结果，且后续操作不再校验,后续操作完全依赖前置校验结果，且后续操作不再校验,高,无,如：密码重置，先校验验证码，再进行任意密码修改。,

80,,请求重放,关键业务操作请求未设置token或标识码，导致业务数据出错,关键业务操作请求未设置token或标识码，导致业务数据越界或错误,高,无,如：重放退单,

81,,批量提交,应用程序未使用验证码等防自动化操作的方法，可批量提交请求,正常业务为单条数据请求，且存在防自动化批量操作措施，数据包中批量写入数据，可成功提交,低,无,,

,,,,正常业务为单条数据请求，且不存在防自动化批量操作措施，可批量自动化提交,高,无,,

82,,负值反冲,应用程序未校验订单数据的取值范围，交易存在负值反冲,未对数据进行校验，导致业务数据被污染,高,网站篡改类,付款负数,

83,,正负值对冲,应用程序未校验订单数据的取值范围，交易存在正负值对冲,未对数据进行校验，导致业务数据被污染,高,网站篡改类,不