金融机构应用系统安全测试规程

1金融机构应用系统安全测试规程本文件规定了金融行业应用系统安全测试的目标、原则、流程和方法。本文件适用于：a)金融机构及其分支机构通过自有团队开展应用系统安全测试的管理工作。b)金融机构及其分支机构通过外部团队开展应用系统安全测试的管理工作。2规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20984-2022信息安全技术信息安全风险评估方法GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T27910-2011金融服务信息安全指南GB/T30279-2020信息安全技术网络安全漏洞分类分级指南GB/T31509-2015信息安全技术信息安全风险评估实施指南JR/T0072—2020金融行业网络安全等级保护测评指南JR/T0213-2021金融网络安全Web应用服务安全测试通用规范3术语和定义GB/T25069-2022、GB/T30273—2013、GB/T29246-2017界定的以及下列术语和定义适用于本文件。3.1应用软件系统applicationsoftwaresystem信息系统中对特定业务进行处理的软件系统。[来源：GB/T25069-2022，3.731]3.2应用程序接口applicationprogramminginterface一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注服务的设计与实现。[来源：JR/T0185—2020，3.1]3.3中间件middleware中间件是指在分布式系统中，帮助不同应用程序或组件进行通信和数据交换的软件层。中间件提供通用服务，如消息传递、事务管理、安全认证和数据访问，简化了应用程序的开发和集成。23.4应用服务器applicationserver提供应用程序运行环境的中间件，支持应用程序的开发、部署和运行。3.5应用系统安全测试applicationsecuritytesting通过技术安全测试或业务安全测试等方式，对应用系统服务及其运行环境进行安全性验证，以检验其安全质量标准的过程。3.6技术安全测试technicalsecuritytesting技术安全测试即对应用系统开展渗透测试，以威胁视角模拟入侵行为对系统实施攻击操作，来评估应用系统安全性，包括工具漏扫测试和人工渗透测试。3.7业务安全测试businesssecuritytesting主要是测试人员依据业务需求中的安全功能，随项目功能性测试同步开展，主要是验证安全功能的实现是否满足业务需求中的要求。3.8安全缺陷securityvulnerability信息系统在需求、设计、实现、配置、运行等过程中，有意或无意违背了信息安全原则产生的缺陷。这些缺陷以不同形式存在于信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对信息系统的安全造成损害，从而影响信息系统的正常运行。3.9泄露disclosure违反信息安全策略，导致数据被未经授权的实体使用的行为。[来源：GB/T25069-2022，3.670]3.10加密enciphermentencryption对数据进行密码变换以产生密文的过程。[来源：GB/T36322-2018，3.5]3.11未加密的信息。[来源：GB/T15843.1-2017，3.19]3.12敏感信息sensitiveinformation一旦泄露可能会对用户或金融机构造成损失的数据。3[来源：JR/T0171—2020，定义3.2]3.13个人金融信息personalfinancialinformation金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注：个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。[来源：JR/T0171—2020，定义3.2]3.14字典攻击dictionaryattack一种由可能的密钥或口令组成字典，遍历其中的所有条目以猜测密钥或口令的攻击方法。[来源：GB/T25069-2022，3.813]3.15备份文件backupfiles一种用于以后数据恢复的文件。[来源：GB/T25069-2022，3.44]3.16命令注入commandinjection系统命令调用和执行的函数在接收用户的参数输入时未做检查过滤，或者攻击者可以通过编码及其他替换手段绕过安全限制注入命令串，导致执行攻击指定的命令。3.17代码注入codeinjection应用程序本身过滤不严格，用户可以通过请求将代码注入到程序中执行。3.18目录遍历directorytraversal信息系统用于生成访问文件路径用户输入数据时未做检查过滤，并且对最终的文件绝对路径的合法性检查存在问题，导致访问允许位置以外的文件。3.19文件包含fileinclusion文件包含函数加载的参数没有经过过滤或者严格定义，可以被用户控制，包含了其他恶意文件，导致执行了非预期的代码。3.20暴力破解攻击bruteforceattack暴力破解漏洞的产生来自于服务器没有对输入参数的内容、输入参数次数进行限制。导致攻击者可以通过暴力的手段进行破解所需要的信息。43.21保密性confidentiality信息对未授权的个人、实体或过程不可用或不泄露的性质。[来源：GB/T25069-2022，3.41]3.22准确和完备的性质。[来源：GB/T25069-2022，3.612]3.23可用性availability可由经授权实体按需访问和使用的性质。[来源：GB/T25069-2022，3.345]4缩略语下列缩略语适用于本文件。URL：统一资源定位符（UniversalResourceLocator）CSRF：跨站请求伪造（Cross-SiteRequestForgery）SSRF：服务端请求伪造（Server-SideRequestForgery）XSS：跨站脚本执行（CrossSiteScripting）SQL：结构化查询语言（StructuredQueryLanguage）CRLF：注入回车换行符（Carriage-ReturnLine-Feed）XML：可扩展置标语言（ExtensibleMarkupLanguage）XPath：XML路径语言（XMLPathLanguage）SSI：服务器包含（Server-SideIncludesInjection）SSTI：服务器模板（Server-SideTemplateInjection）HTTP：超文本传输协议（HyperTextTransferProtocol）HTTPS：超文本传输安全协议（HyperTextTransferProtocolSecure）HSTS：HTTP严格传输安全协议（HTTPStrictTransportSecurity）LDAP轻量目录访问协议（LightweightDirectoryAccessProtocol）HTML：超文本标记语言（HyperTextMarkupLanguage）IIS：互联网信息服务（InternetInformationServices）WSDL：Web服务描述语言（WebServicesDescriptionLanguage）CSP：内容安全策略（ContentSecurityPolicy）XXE：XML外部实体注入漏洞（XMLExternalEntityInjection）MML：人机语言（Man-MachineLanguage）DoS：拒绝服务（DenialofService）API：应用程序接口（ApplicationProgrammingInterface）XFF：XFF头（X-Forwarded-For）POC：漏洞验证脚本（ProofofConcept）55测试管理测试管理包含测试目标、测试原则、测试流程、各类相关原则、测试准备、测试实施等工作，测试准备与实施等实际操作在附录A内均有覆盖。5.1测试目标通过规范应用系统安全测试过程，提升安全测试覆盖率，确保应用系统满足保密性、完整性和可用性三大基本安全要求。5.2测试原则5.2.1全面性原则针对待测目标应用系统，测试范围应覆盖当前测试各类角色、用户权限下全部能够访问的功能、场景及测试项。5.2.2可控性原则测试过程应按照GB/T31509-2015标准中的项目管理方法对过程、人员、工具等进行控制，以保安全测试过程的可控和安全。5.2.3最小影响原则安全测试实施工作应尽可能小的影响被测试应用系统和网络的正常运行，应提前确定合适的测试时间窗口，避开业务高峰期，同时做好被测试目标应用的应急预案。5.2.4分级原则测试过程应对应用系统及漏洞进行分级管理，以保证重要应用系统的资源投入。5.2.5保密性原则未经允许，测试方不得向第三方及社会公众泄露与安全测试目标相关的一切信息。包括但不限于应用系统网络架构、业务数据、安全漏洞等因测试活动所获取的敏感信息，以及开发及运维人员个人信息5.2.6标准性原则应按本文件中各项测试项进行应用系统的全生命周期的安全测试，包括投产前和投产后安全测试。5.2.7及时性原则测试方应保证漏洞提交的及时性，检测出漏洞与提交漏洞的时间间隔不应超出规定时间，不应出现漏洞积压情况。5.3测试流程应用安全测试工作应由应用系统管理或相关测试发起人（后简称测试发起方）发起应用安全测试，交由应用安全测试团队或相关执行人（后简称测试执行方）开展测试工作。从测试执行方收到测试启动材料、流程开始，包含测试准备、测试实施、测试复测三个阶段（见图1）。三阶段工作过程中，如需具体测试分类可根据附录A查询对应测试项获得，具体操作内容可通过附录A索引至附录B查询用例具6体实施内容：a)测试准备阶段工作中，测试发起方应提供资产清单，其中应包含URL清单（接口级）、测试账号（多角色账户）、测试项要求（是否裁剪等），测试执行方应根据启动要求，统计收集，输出相应工作清单；b)测试实施阶段按照测试准备阶段产出的工作清单依据测试用例要求进行逐项测试实施工作；c)根据测试结果完成漏洞修复，并开展复测至漏洞已全部修复。图1测试流程图5.3.1测试准备测试准备阶段应在安全测试准备阶段提供被测系统测试需求、测试工作清单进行实施。工作清单应包含URL，测试执行方可按照后续内容确认的测试用例及测试方法，依据附录A进行应用资产收集（C1）工作对工作清单进行补充，清单需包含功能点或接口地址。应用资产收集通过应用资产收集工作，对工作清单进行完善。其中包含WEB应用资产收集（T1）、APP应用资产收集（T2）、应用指纹收集（T3）、端口及服务枚举收集（T4）。a）WEB应用资产收集。通过主被动相结合的方式，使用网站爬虫获取WEB应用资产清单，作为测试准备阶段输出URL清单。b）APP应用资产收集。通过设置代理、抓包、逆向分析等主被动辅助方式，并通过遍历点击功能方式获取资产清单，作为测试准备阶段输出URL清单。c）应用指纹收集。包括不限于通过URL爬取、特征比对、目录扫描测试，以确认业务网站所使用的应用、框架、服务、中间件等版本详情，以供后续与漏洞库进行比对匹配。d）端口及服务枚举收集通过扫描业务系统IP，以确认目标主机开放的端口、端口对应服务，并根据相应的漏洞执行对应的操作。5.3.2测试实施测试执行方应依据测试准备工作产出的测试项清单，对照测试标签、业务场景及测试用例进行测试。测试执行方依据应用系统实际情况，对测试用例进行筛选后开展测试。5.3.3测试复测测试执行方应按照应用系统修复进度安排，进行复测工作，并输出复测报告。76安全测试范围根据应用系统安全测试目标和原则，安全测试可分为如下10类：Web容器及应用服务测试访问授权测试（C6）、身份鉴别与认证测试（C7）、输测试（C9）、基础场景业务逻辑测试（C10）、金融场景业务逻6.1Web容器及应用服务测试6.1.1Web容器常见漏洞测试根据信息收集识别到的容器信息，通过用例进行匹配，使用对应的容器漏洞检测利用程序，发现未修复的容器漏洞。安全测试可分为如下8类：IIS容器常见漏洞测试（T5）、Apache容器常见漏洞测试（T6）、Nginx容器常见漏洞测试（T7）、Weblogic容器常见漏洞测试（T8）、Tomcat容器常见漏洞测试（T9）、Jboss容器常见漏洞测试（T10）、Websphere容器常见漏洞测试（T11）、Axis容器常见漏洞测试（T12）。6.1.2应用服务未授权访问漏洞测试尝试连接服务器开放的服务，验证是否存在服务未授权访问漏洞。安全测试可分为如下7项：rsync未授权访问测试（T13）、redis未授权访问测试（T14）、Mongodb未授权访问测试（T15）、Ldap未未授权访问测试（T19）。6.1.3容器控制台默认口令测试对web容器控制台进行默认口令测试，以发现不安全的账户信息。6.1.4容器敏感信息泄露测试对web容器发起正常或非法请求，查看是否有敏感信息返回。6.2Web应用组件测试使用组件漏洞检测利用工具，参照测试用例，对常见的组件框架漏洞进行测试。安全测试可分为如下7项：shiro常见漏洞测试（T22）、struts2常见漏洞测试（T23）、fastjson常见漏洞测试（T24）、常见漏洞测试（T28）。6.3配置以及部署管理测试检测是否存在因配置不当引起的临时文件、管理接口、功能目录、Cookie、管理账户弱口令等敏感信息泄露，以及是否存在跨域策略配置、HTTP不安全方法配置等问题。安全测试可分为如下9项：备份文件和未引用文件信息泄露测试（T29）、WEB应用敏感信息发现测试（T30）、功能目录和管理界面枚跨域策略测试（T35）、配置管理账户弱口令测试（T36）、jwt常见漏洞测试（T37）。86.4会话管理测试6.4.1Cookie属性测试通过使用抓包工具，捕获所有设置cookie的浏览器响应（使用Set-cookie指示符检查以下属性：Secure属性、HttpOnly属性、Domain属性、Path属性、Expires属性是否正确配置。6.4.2会话固定测试通过对登陆前后的会话标识进行对比，测试登陆成功后会话标识是否进行了更新。6.4.3跨站请求伪造测试通过盗用其他用户身份，检查是否能以其他账户的名义发送恶意请求。6.5访问授权测试6.5.1未授权访问测试通过对web的各个功能点进行匿名访问，发现无需认证即可访问的页面或功能。6.6身份鉴别与认证测试通过手工方式或者抓包工具，通过判断用户名校验逻辑的回显内容或长度变化，获悉系统中存在的用户名、测试使用常见用户名及弱口令能否登录、测试是否对用户登录口令做频次验证。安全测试可分为如下3项：账户枚举测试（T42）、默认口令与弱口令测试（T43）、凭证暴力破解测试（T44）。6.7输入有效性验证测试通过手工方式或测试工具，检测应用程序在接收用户的参数输入时是否进行检查过滤，应用程序能否正确处理用户输入的数据，避免导致恶意命令执行、恶意文件上传、非预期文件下载等问题。安全测试可分为如下21项：通用型跨站脚本攻击测试（T45）、PDF文件类xss脚本攻击测试（T46）、SQL注入测试（T47）、LDAP注入测试（T48）、XML外部实体注入测试（T49）、SSI注入测试（T50）、SSTI模板注入测试（T51）、XPath注入测试（T52）、IMAPSMTP注入测试（T53）、代码注入测试（T54）、命任意地址重定向测试（T59）、通用型文件上传测试（T60）、文件上传解析测试（T61）、非预期的文件下载测试（T62）、文件包含测试（T63）、MML注入测试（T64）、应用类拒绝服务攻击测试（T65）。6.8加解密测试6.8.1传输层安全性测试通过访问业务系统查看系统采用的访问协议是否为https。6.8.2敏感信息脱敏测试通过抓包工具对WEB应用页面的请求进行抓包，测试其数据包中相关敏感信息参数的值是否为明文。6.9基础场景业务逻辑测试本章节根据典型业务场景划分了多类案例集合。测试人员在执行业务逻辑测试时，应根据待测业务功能的特征匹配对应的业务场景测试案例，逐条实施案例验证是否存在业务逻辑漏洞。测试执行时，须满足如下原则：9业务逻辑测试中l涉及的所有报文，在完成本章节中各业务场景包含的测试案例的同时，还需完成前文涉及的所有相关案例，如会话管理、敏感信息泄露、输入有效性验证等。l如待测业务场景A中涉及其他业务场景B（如登录场景中可能涉及密码认证场景，购买场景中可能涉及支付场景等），则需完成A和B的所有测试案例；l如待测字段采用常见弱加密方式（如base64编码、URL编码等）加密，则解密后进行测试；l如存在多个同类待测字段，则需考虑各字段排列组合的情况。6.9.1认证要素类场景通过抓包工具对认证类场景的接口内容及工作流程进行分析，逐条实施案例验证是否存在业务逻辑漏洞。安全测试可分为如下6项：密码验证场景业务逻辑测试（T68）、短信、语音、邮箱验证码场景业务逻辑测试（T69）、图形验证码场景业务逻辑测试（T70）、生物特征识别场景业务逻辑测试（T71）、K宝K令场景业务逻辑测试（T72）、滑动验证场景业务逻辑测试（T73）。6.9.2登录类场景通过抓包工具对登录类场景的接口内容及工作流程进行分析，逐条实施案例验证是否存在业务逻辑漏洞。可分为如下2项：登录场景业务逻辑、登出场景业务逻辑测试。6.9.3账户管理类场景通过抓包工具对账户管理类场景的接口内容及工作流程进行分析，逐条实施案例验证是否存在业务逻辑漏洞。安全测试可分为如下4项：注册场景业务逻辑测试（T76）、注销场景业务逻辑测试（T77）、账户权限变更场景业务逻辑测试（T78）、账户暂停/恢复场景业务逻辑测试（T79）。6.9.4密码管理类场景通过抓包工具分析密码管理类场景的接口内容及工作流程，逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素，则参考对应的认证要素测试方式。安全测试可分为如下2项：密码修改场景业务逻辑测试（T80）、密码找回场景业务逻辑测试（T81）。6.9.5信息查询及维护类场景通过抓包工具分析信息查询及维护类场景的接口内容及工作流程，逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素，则参考对应的认证要素测试方式。安全测试可分为如下4项：信息查询场景业务逻辑测试（T82）、信息修改场景业务逻辑测试（T83）、信息导出/下载场景业务逻辑测试（T84）、信息删除场景业务逻辑测试（T85）。6.10金融场景业务逻辑测试6.10.1金融交易类场景通过抓包工具分析金融交易类场景的接口内容及工作流程，逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及人脸、证书、短信验证码等认证要素，请参考对应的认证要素测试对应的测试前置逐条进行测试。安全测试可分为如下10项：支付场景业务逻辑测试（T86）、转账场景业务逻辑测试（T87）、贷款场景业务逻辑测试（T88）、充值缴费场景业务逻辑测试（T89）、非金融产品购买场景业务逻辑测试（T90）、非金融订单取消场景业务逻辑测试（T91）、非金融产品退货/退款场景业务逻辑测试（T92）、金融产品购买场景业务逻辑测试（T93）、金融产品赎回场景业务逻辑测试（T94）、金融产品订单取消场景业务逻辑测试（T95）。6.10.2金融交易关联类场景通过抓包工具分析金融交易关联类场景的接口内容及工作流程，逐条实施案例验证是否存在业务逻辑漏洞。若该场景涉及人脸、证书、短信验证码等认证要素，请参考对应的认证要素测试方式。安全测试可分为如下6项：业务开立场景业务逻辑测试（T96）、业务变更场景业务逻辑测试（T97）、业务解约/中止场景业务逻辑测试（T98）、审批审核场景业务逻辑测试（T99）、优惠活动/券/积分获取场景业务逻辑测试（T100）、优惠活动/券/积分使用场景业务逻辑测试（T101）。（规范性）实施序号测试类别测试项测试标签业务场景测试工具测试用例（附录B）1C1：应用资产收集T1:Web应用资产收集WEB应用安全测试所有业务场景Yakit、EZ1.1.12T2:APP应用资产收集WEB应用安全测试所有业务场景Yakit、EZ1.1.23T3:应用指纹收集WEB应用安全测试所有业务场景whatweb、Wappalyzer、Eholefinger、Finger、Yakit、EZ4T4:端口及服务枚举收集WEB应用安全测试所有业务场景nmap、goby、yakit、EZ、网络空间测绘引擎。5C2:Web容器及应用服务测试T5:IIS容器常见漏洞测试中间件测试所有业务场景Yakit、EZ、iis_shortname_scanner.2.1.16T6:Apache容器常见漏洞测试中间件测试所有业务场景Yakit、EZ、curl2.1.27T7:Nginx容器常见漏洞测试中间件测试所有业务场景Yakit、EZ2.1.38T8:Weblogic容器常见漏洞测试中间件测试所有业务场景Yakit、EZ、Weblogic容器漏洞检测利用程序2.1.49T9:Tomcat容器常见漏洞测试中间件测试所有业务场景Yakit、EZ、各类Tomcat容器漏洞检测利用程序2.1.5T10:Jboss容器常见漏洞测试中间件测试所有业务场景Yakit、EZ、各类Jboss漏洞检测利用程序2.1.6T11:Websphere容器常见漏洞测试中间件测试所有业务场景Yakit、EZ、DeserializeExploit.jar等各类Websphere容器漏洞检测利用程序2.1.7T12:Axis容器常见漏洞测试中间件测试所有业务场景Yakit、EZ、浏览器2.1.8T13:rsync未授权访问测试中间件测试所有业务场景Nmap、EZ、rsync2.2.1T14:redis未授权访问测试中间件测试所有业务场景reds-cli、RedisManager、EZ2.2.2T15:Mongodb未授权访中间件测试所有业务场景NoSQLBooster、EZ2.2.3T16:Ldap未授权访问测试中间件测试所有业务场景Ldapbrowser2.2.4T17:elasticsearch未授权访问测试中间件测试所有业务场景浏览器、EZ2.2.5T18:Memcache未授权访中间件测试所有业务场景Telnet、EZ2.2.6T19:Zookeeper未授权访问测试中间件测试所有业务场景ZooInspector、EZ2.2.7T20:容器控制台默认口令测试中间件测试所有业务场景浏览器2.3T21:容器敏感信息泄露测试中间件测试所有业务场景Yakit、EZ、dirsearch、浏览器2.4C3:Web应用组件测试T22:shiro常见漏洞测试组件测试所有业务场景Yakit、EZ、BurpShiroPassiveScan插件、shiro_tool.jarShiroExploit.jar3.1T23:struts2常见漏洞测试组件测试所有业务场景Yakit、EZ、各类struts2漏洞检测利用工具3.2T24:fastjson常见漏洞测试组件测试所有业务场景Yakit、EZ、抓包FastJsonScan插件、fastjson_tool.jar3.3T25:spring常见漏洞测试组件测试所有业务场景spring框架漏洞检测利用工具、EZ3.4T26:Log4j常见漏洞测试组件测试所有业务场景Yakit、EZ3.5T27:jenkins常见漏洞测试组件测试所有业务场景Yakit、EZ3.6T28:elasticsearch常见漏洞测试组件测试所有业务场景Yakit、EZ3.7C4：配置以及部署管理测试T29:备份文件和未引用文件信息泄露测试WEB应用安全测试所有业务场景EZ、DirsearchDirscanSvnHackGitHack4.1T30:WEB应用敏感信息发现测试WEB应用安全测试所有业务场景EZ、xray、Yakit、Web扫描工具、器4.2T31:功能目录和管理界面枚举测试WEB应用安全测试所有业务场景EZ、Yakit、御剑、dirsearch目录扫描工具4.3WEB应用安全测试所有业务场景EZ、Yakit、御剑、dirsearch等目录扫描工具4.4T33:Cookie敏感信息泄露测试WEB应用安全测试所有业务场景EZ、Yakit、quickCook脚本4.5T34:HTTP不安全方法测试WEB应用安全测布署项所有业务场景4.6T35:跨域策略测试WEB应用安全测试所有业务场景crossdomainScanner4.7T36:配置管理账户弱口令测试Web应用安全测布署项所有业务场景EZ、Yakit、超级弱口令检查工具4.8T37:jwt常见漏洞测试Web应用安全测试身份校验EZ、Yakit4.9C5:会话管理测试T38:Cookie属性测试Web应用安全测试涉及登录的业务场景Yakit5.1T39:会话固定测试Web应用安全测试涉及登录的业务场景Yakit5.240T40:跨站请求伪造测试Web应用安全测试改、查功能的业务场景Yakit5.341C6:访测试T41:未授权访问测试Web应用安全测试改、查功能的业务场景EZ、Dirsearch、Yakit6.142C7:身份鉴别与认证测试T42:账户枚举测试环境布署项密码找回EZ、Yakit7.143T43:默认口令与弱口令测试Web应用安全测布署项系统登录、认证功能EZ、Yakit7.244T44:凭证暴力破解测试Web应用安全测试用户登录、密码修改、忘记密码、注册功能等EZ、Yakit7.345C8:输入有效性验证测试T45:通用型跨站脚本攻击测试WEB应用安全测试搜索查询、登录框、在线聊天框、报错信息输出、留言评论EZ、Yakit8.1.146T46:PDF文件类xss脚本攻击测试WEB应用安全测试文件上传EZ、Yakit8.1.247T47:SQL注入测试WEB应用安全测试登录注册、忘记密码、支付转账、页面跳转、搜索功能、商品购买、增删改查EZ、Yakit、sqlmap8.248T48:LDAP注入测试WEB应用安全测试忘记密码、搜索功能、增删改查Yakit、EZ8.349T49:XML外部实体注入测试WEB应用安全测试所有业务场景EZ、Yakit、dnslog8.4T50:SSI注入测试WEB应用安全测试搜索查询功能、用户留言、发送站内消息、个人信息修改、页面编辑、文件上传的文件名称、文件内容EZ、Yakit8.5T51:SSTI模板注入测试WEB应用安全测试搜索查询功能、用户留言、发送站内消息、个人信息修改、页面编辑、文件上传EZ、Yakit8.6T52:XPath注入测试WEB应用安全测试忘记密码、搜索功能、增删改查EZ、Yakit8.7T53:IMAPSMTP注入测试WEB应用安全测试邮件发送功能处Yakit8.8T54:代码注入测试WEB应用安全测试所有业务场景EZ、Yakit8.9T55:命令注入测试WEB应用安全测试所有业务场景EZ、Yakit8.10T56:HTTP分割/伪造测试WEB应用安全测试搜索功能、内容查询、个人信息查询、翻页查询等Yakit8.11T57:主机头注入测试WEB应用安全测试所有业务场景Yakit8.12T58:服务器端请求伪造测试WEB应用安全测试URL地址分享、翻译网页内容、引用第三方资源的功能点、转码服务、图片加载、图片或文章收藏功能等EZ、Yakit、Hackbar8.13T59:任意地址重定向测试Web应用安全测试url跳转等Yakit8.1460T60:通用型文件上传测试Web应用安全测试头像上传、文件上传、实名认证、材料审核EZ、Yakit8.15.161T61:文件上传解析测试Web应用安全测试文件上传EZ、Yakit8.15.262T62:非预期的文件下载测试Web应用安全测试文件下载EZ、Yakit8.1663T63:文件包含测试Web应用安全测试本地资源加载、远程资源加载EZ、Yakit8.1764T64:MML注入测试环境部署项控制台或终端演示屏幕Yakit8.18前端、ATM人机交互设备等)65T65:应用类拒绝服务攻击测试拒绝服务所有业务场景Yakit8.1966C9:加解密测试T66:传输层安全性测试环境布署项所有业务场景Yakit9.167T67:敏感信息脱敏测试WEB应用安全测试身份校验、重置密码EZ、Yakit、使用PadBuster、python-paddingoracle9.268C10:基础场景业务逻辑测试T68:密码验证场景业务逻辑测试业务场景测试密码验证场景Yakit、EZ10.1.169T69:短信、语音、邮箱验证码场景业务逻辑测试业务场景测试邮箱验证码场景Yakit10.1.2T70:图形验证码场景业务逻辑测试业务场景测试图形验证码场景Yakit10.1.3T71:生物特征识别场景业务逻辑测试业务场景测试生物特征识别场景Yakit10.1.4T72:K宝K令场景业务逻辑测试业务场景测试K宝K令场景Yakit10.1.5T73:滑动验证场景业务逻辑测试业务场景测试滑动验证场景Yakit10.1.6T74:登录场景业务逻辑测试业务