各行业漏洞测试项
互联网行业 | |
通用业务模块 | 业务逻辑漏洞 |
登陆 | 暴力破解用户名密码 |
撞库 | |
验证码爆破和绕过 | |
手机号撞库 | |
账户权限绕过 | |
注册 | 恶意用户批量注册 |
恶意验证注册账户 | |
存储型XSS | |
密码找回 | 重置任意用户账户密码 |
批量重置用户密码 | |
新密码劫持 | |
短信验证码劫持 | |
用户邮箱劫持篡改 | |
后台管理 | 管理员用户名密码绕过 |
目录遍历 | |
会员系统 | 用户越权访问 |
个人资料信息泄漏 | |
个人资料遍历 | |
传输过程 | COOKIE注入 |
COOKIE跨站 | |
COOKIE劫持 | |
明文传输 | |
评论 | POST注入 |
CSRF | |
存储型XSS | |
遍历用户名 | |
P2P金融行业 | |
通用业务模块 | 业务逻辑漏洞 |
登陆 | 暴力破解用户名密码 |
撞库 | |
验证码爆破和绕过 | |
手机号撞库 | |
账户权限绕过 | |
注册 | 恶意用户批量注册 |
恶意验证注册账户 | |
存储型XSS | |
密码找回 | 重置任意用户账户密码 |
批量重置用户密码 | |
新密码劫持 | |
短信验证码劫持 | |
用户邮箱劫持篡改 | |
购买支付 | 商品金额篡改 |
商品数量篡改 | |
交易信息泄漏 | |
充值 | 虚假充值金额 |
充值数量篡改 | |
篡改充值账户 | |
抽奖/活动 | 刷取活动奖品 |
盗刷积分 | |
抽奖作弊 | |
代金卷/优惠卷 | 批量刷取代金卷/优惠卷 |
更改代金卷金额 | |
更改优惠卷数量 | |
订单 | 订单信息泄漏 |
用户信息泄漏 | |
订单遍历 | |
账户 | 账户绕过 |
账户余额盗取 | |
账户绑定手机号绕过 | |
会员系统 | 用户越权访问 |
个人资料信息泄漏 | |
个人资料遍历 | |
传输过程 | COOKIE注入 |
COOKIE跨站 | |
COOKIE劫持 | |
明文传输 | |
评论 | POST注入 |
CSRF | |
存储型XSS | |
遍历用户名 | |
电商行业 | |
通用业务模块 | 业务逻辑漏洞 |
登陆 | 暴力破解用户名密码 |
撞库 | |
验证码爆破和绕过 | |
手机号撞库 | |
账户权限绕过 | |
注册 | 恶意用户批量注册 |
恶意验证注册账户 | |
存储型XSS | |
密码找回 | 重置任意用户账户密码 |
批量重置用户密码 | |
新密码劫持 | |
短信验证码劫持 | |
用户邮箱劫持篡改 | |
购买支付 | 商品金额篡改 |
商品数量篡改 | |
交易信息泄漏 | |
抽奖/活动 | 刷取活动奖品 |
盗刷积分 | |
抽奖作弊 | |
代金卷/优惠卷 | 批量刷取代金卷/优惠卷 |
更改代金卷金额 | |
更改优惠卷数量 | |
订单 | 订单信息泄漏 |
用户信息泄漏 | |
订单遍历 | |
账户 | 账户绕过 |
账户余额盗取 | |
账户绑定手机号绕过 | |
抢购活动 | 低价抢购 |
抢购作弊 | |
刷单 | |
运费 | 运费绕过 |
会员系统 | 用户越权访问 |
个人资料信息泄漏 | |
个人资料遍历 | |
传输过程 | COOKIE注入 |
COOKIE跨站 | |
COOKIE劫持 | |
明文传输 | |
评论 | POST注入 |
CSRF | |
存储型XSS | |
遍历用户名 | |
第三方商家 | 盗号 |
商家账户遍历 | |
越权访问其他商家用户 | |
政务行业 | |
通用业务模块 | 业务逻辑漏洞 |
登陆 | 暴力破解用户名密码 |
撞库 | |
验证码爆破和绕过 | |
手机号撞库 | |
账户权限绕过 | |
注册 | 恶意用户批量注册 |
恶意验证注册账户 | |
存储型XSS | |
密码找回 | 重置任意用户账户密码 |
批量重置用户密码 | |
新密码劫持 | |
短信验证码劫持 | |
用户邮箱劫持篡改 | |
后台管理 | 管理员用户名密码绕过 |
目录遍历 | |
业务查询 | 恶意查询 |
办理人信息泄漏 | |
业务办理 | 顶替办理 |
绕过业务流程办理 | |
篡改其他办理人信息 | |
办理人信息泄漏 | |
传输过程 | COOKIE注入 |
COOKIE跨站 | |
COOKIE劫持 | |
明文传输 | |
评论 | POST注入 |
CSRF | |
存储型XSS | |
遍历用户名 | |
电商行业安全服务测试范围 | |
常规漏洞名 | 常规漏洞分类 |
注入漏洞 | HTML注入-反射性(GET)(POST)(Current URL) |
HTML注入-存储型 | |
iFrame注入 | |
LDAP注入(Search) | |
邮件Header注入 | |
PHP代码注入 | |
SQL注入(POST/搜索型)(POST/Select) | |
SQL注入(AJAX/JSON/jQuery) | |
SQL注入(Login form/Hero)(Login form/User) | |
SQL注入(SQLite)(Drupal) | |
SQL注入-存储型(Blog)(SQLite)(User-Agent) | |
SQL注入-盲注(Boolean-Based)(Time-Based)(SQLite) | |
XML/XPath注入(Login Form)(Search) | |
跨站XSS漏洞 | 跨站(XSS)-反射型(GET) |
跨站(XSS)-反射型(POST) | |
跨站(XSS)-反射型(JSON) | |
跨站(XSS)-反射型(AJAX/JSON) | |
跨站(XSS)-反射型(AJAX/XML) | |
跨站(XSS)-反射型(Back Button) | |
跨站(XSS)-反射型(Login Form) | |
跨站(XSS)-反射型(PHP_SELF) | |
跨站(XSS)-反射型(User-Agent) | |
跨站(XSS)-反射型(Referer) | |
跨站(XSS)-存储型(Blog) | |
跨站(XSS)-存储型(Change Secret) | |
跨站(XSS)-存储型(Cookies) | |
跨站(XSS)-存储型(SQLiteManager) | |
跨站(XSS)-存储型(User-Agent) | |
安全配置错误 | Arbitrary File Access (Samba) |
Cross-Domain Policy File (Flash) Cross-Origin Resource Sharing(AJAX)Cross-Site Tracing (XST)拒绝服务攻击 (Large Chunk Size) 拒绝服务攻击 (Slow HTTP DoS) 拒绝服务攻击 (SSL-Exhaustion)拒绝服务攻击 (XML Bomb) 错误的安全配置:FTP错误的安全配置:SNMP错误的安全配置:WebDAV 本地权限提升 (sendpage)本地权限提升 (udev)中间人攻击 (HTTP)中间人攻击 (SMTP)各种文件泄露Robots 文件 | |
登录认证缺陷 | 登录认证缺陷- 验证码绕过 |
登录认证缺陷- 找回密码功能 | |
登录认证缺陷- 登录框漏洞 | |
登录认证缺陷- 登出管理 | |
登录认证缺陷- 密码爆破 | |
登录认证缺陷- 弱口令 | |
会话管理 - 管理后台 | |
会话管理 - Cookies (HTTPOnly) | |
会话管理 - Cookies (Secure) | |
会话管理 - URL中泄露Session ID | |
会话管理 - 强会话 | |
Insecure Direct Object References | 不安全的直接对象引用 (修改密码) |
不安全的直接对象引用 (密码重置) | |
不安全的直接对象引用 (订票的例子) | |
敏感信息泄露 | Base64编码 |
BEAST/CRIME/BREACH Attacks | |
HTTP明文传输用户名和密码 | |
心脏滴血漏洞 | |
Host Header 攻击(Reset 投毒) | |
HTML5 Web Storage (Secret) | |
POODLE Vulnerability | |
SSL 2.0 Deprecated Protocol | |
文本文件(账号) | |
权限控制不严格 | 目录遍历 - Directories |
目录遍历 - Files | |
Host Header 攻击 (缓存投毒) | |
Host Header 攻击(Reset 投毒) | |
本地文件包含 (SQLiteManager) | |
Remote & 本地文件包含 (RFI/LFI) | |
限制访问终端设备 | |
限制文件夹访问 | |
Server Side Request Forgery (SSRF) | |
XML 外部实体攻击 (XXE) | |
跨站请求伪造 (CSRF) | Cross-Site Request Forgery (修改密码) |
Cross-Site Request Forgery (Change Secret) | |
Cross-Site Request Forgery (Transfer Amount) | |
使用了存在漏洞的组件 | 缓冲区溢出(本地) |
缓冲区溢出(远程) | |
Drupal SQL 注入 (Drupageddon) | |
心脏滴血漏洞 | |
PHP CGI 远程代码执行 | |
PHP Eval 函数 | |
phpMyAdmin BBCode 标签 XSS | |
破壳漏洞 (CGI) | |
SQLiteManager 本地文件包含 | |
SQLiteManager PHP 代码注入 | |
SQLiteManager XSS | |
其他类型漏洞 | 点击劫持 (Movie Tickets) |
客户端验证 (密码) | |
HTTP参数污染 | |
HTTP Response Splitting | |
HTTP Verb Tampering | |
信息泄露 - Favicon | |
信息泄露 - Headers | |
信息泄露 - PHP version | |
信息泄露 - Robots 文件 | |
不安全的iframe (登录框) | |
上传漏洞 | |
其他漏洞 | A.I.M. - No-authentication Mode |
Client Access Policy File | |
Cross-Domain Policy File | |
Evil 666 Fuzzing Page | |
Manual Intervention Required! | |
未被保护的管理后台 | |
We Steal Secrets... (html) | |
We Steal Secrets... (plain) | |
WSDL File (Web Services/SOAP) |