渗透测试交付流程
渗透测试流程图:
Penetration Testing List
序列号 | 测试漏洞 | 是否安全 |
54 | 后台路径泄露 | |
55 | post 注入 | |
56 | 数据库备份 getwebshell | |
57 | 配置文件写入木马 | |
58 | 任意文件上传漏洞 | |
59 | 万能密码登陆 | |
60 | 开源编辑器、插件漏洞 | |
61 | 后台越权访问 | |
62 | 暴力破解管理员账号 | |
63 | CSRF | |
64 | 存储型 XSS | |
65 | 目录遍历 | |
66 | 用户越权访问 | |
67 | 个人资料信息泄露 | |
68 | 登陆验证绕过 | |
69 | 重置任意账户密码 | |
70 | 开源编辑框、插件漏洞 | |
71 | GET 注入 | |
72 | 登录框 POST 注入 | |
73 | CSRF | |
74 | 用户组水平越权 | |
75 | 任意文件上传 | |
76 | 反射型 XSS | |
77 | 存储型 XSS |
功能模块 | 序列号 | 测试漏洞 | 是否安全 |
78 | 个人资料遍历 | ||
79 | COOKIE 注入 | ||
80 | COOKIE 跨站 | ||
传输过程 | |||
81 | COOKIE 劫持 | ||
82 | 用户凭证铭文传输 | ||
83 | 中间人攻击 | ||
84 | 流量劫持 | ||
85 | 用户凭证明文传输 | ||
86 | 恶意批量评论 | ||
87 | 数据库插入木马 | ||
88 | 任意文件上传 | ||
89 | CSRF | ||
90 | 反射型 XSS | ||
91 | 存储型 XSS | ||
92 | 注入点敏感文件读取 | ||
93 | 注入点写入木马 | ||
94 | 注入点拖库 | ||
95 | 伪静态注入 | ||
96 | LDAP 注入 | ||
97 | 搜索型 sql 注入 | ||
SQL 注入 | |||
98 | POST 注入 | ||
99 | GET 注入 | ||
100 | 宽字节注入 | ||
101 | HTML 代码注入 | ||
102 | XML 外部实体攻击 (XXE) | ||
103 | iframe 代码注入 | ||
安全配置错误 | 104 | DOS/DDOS |
功能模块 | 序列号 | 测试漏洞 | 是否安全 |
105 | FTP/SSH/3389 弱口令 | ||
106 | 使用存在漏洞的中间件 | ||
107 | 高权限账号弱口令 | ||
108 | 高危端口 | ||
109 | 防火墙可被溢出、绕过 | ||
110 | 不安全的 HTTP 方法 | ||
111 | 文件夹访问/执行权限配置不正确 | ||
112 | 本地文件包含 (SQLiteManager) | ||
113 | 远程文件包含 | ||
114 | 登陆本地验证 | ||
115 | 文件上传本地验证 | ||
116 | 会话不过期 | ||
117 | 跨域加载漏洞 | ||
118 | 用户凭证明文传输 | ||
119 | 敏感文件下载(数据库备份、网站备份) | ||
120 | 敏感信息泄露 | ||
121 | 后台路径、数据库地址泄露 | ||
122 | 用户身份标识泄露 | ||
123 | 心脏滴血漏洞 | ||
124 | 组件版本信息泄露 | ||
敏感信息泄露 | 125 | 报错页面信息泄露(中间件版本、网站路径) | |
126 | 关键数据 web 存储 | ||
127 | 前端代码注释中存在敏感信息 | ||
128 | Github 敏感信息泄露 | ||
129 | SVN 源代码泄露 | ||
130 | Resin 任意文件读取 | ||
131 | phpinfo 信息泄露 |
功能模块 | 序列号 | 测试漏洞 | 是否安全 |
132 | Apache server-info 信息泄露 | ||
133 | 日志文件泄露 | ||
134 | Apache server-status 信息泄露 | ||
135 | 明文传输 | ||
136 | 开启 HTTP OPTIONS 方法 | ||
137 | 文本文件(账号) | ||
138 | 垂直越权 | ||
139 | 水平越权 | ||
140 | 越权访问 | ||
权限控制不严格 | 141 | 文件夹访问/执行权限配置不正确 | |
142 | 限制访问终端设备 | ||
143 | 限制文件夹访问 | ||
144 | Server Side Request Forgery (SSRF) | ||
145 | 缓冲区溢出(本地) | ||
146 | 缓冲区溢出(远程) | ||
147 | Drupal SQL 注入 (Drupageddon) | ||
148 | 使用已爆出漏洞的低版本 cms | ||
149 | 心脏滴血漏洞 | ||
150 | PHP CGI 远程代码执行 | ||
存在漏洞的组件 | 151 | phpMyAdmin BBCode 标签 XSS | |
152 | IIS 短文件名遍历 | ||
153 | 开源系统公开漏洞 | ||
序列号 | 测试漏洞 | 是否安全 |
Apache Struts2 远程代码执行漏洞(S2- | ||
156 | ||
037) | ||
Apache Struts2 远程代码执行漏洞(S2- | ||
157 | ||
045) | ||
Apache Struts2 远程代码执行漏洞(S2- | ||
158 | ||
052) | ||
159 | stust2 远程代码执行漏洞 | |
160 | 破壳漏洞 (CGI) | |
161 | Struts2 框架远程代码执行 | |
162 | 低版本 Mysql 密码碰撞 | |
163 | Nginx 解析漏洞 | |
164 | Apache 解析漏洞 | |
165 | IIS 解析漏洞 | |
166 | WordPress CSRF | |
167 | IIS 短文件名漏洞 | |
168 | 低版本 Apache cookie 泄露 | |
169 | HTTPS 服务器未验证 | |
170 | 跨站请求伪造(CSRF) | |
171 | 水平越权 | |
172 | 垂直越权 | |
173 | 服务端请求伪造(SSRF) | |
174 | 任意文件操作 | |
175 | 未授权访问 | |
176 | 管理后台任意访问 | |
177 | 源代码反编译 | |
178 | 源代码泄露 |
序列号 | 测试漏洞 | 是否安全 |
182 | Struts 2 远程代码执行 | |
183 | Tomcat 远程代码执行 | |
184 | GoAhead 远程代码执行 | |
185 | CredSSP 远程代码执行 | |
186 | NodeJS 远程代码执行 | |
187 | J2EE 远程代码执行 | |
188 | swagger 远程代码执行 | |
189 | IIS HTTP.SYS 远程代码执行 | |
190 | Discuz! X 远程代码执行 | |
191 | PHP 反序列化远程代码执行 | |
192 | java 反序列化远程代码执行 | |
193 | CouchDB 远程代码执行漏洞 | |
Apache ActiveMQ Fileserver 远程代码执行 | ||
194 | ||
漏洞 | ||
195 | Android WebView 远程代码执行 | |
196 | Spring-Boot 远程命令执行 | |
197 | Jackson 框架任意代码执行 | |
198 | IIS 6.0 WebDAV 远程代码执行漏洞 | |
199 | Fastjson 远程代码执行漏洞 | |
200 | Joomla 1.5 - 3.4 版本远程命令执行漏洞 | |
201 | weblogic 反序列化远程代码执行 |
今天先到这儿,希望对云原生,技术领导力, 企业管理,系统架构设计与评估,团队管理, 项目管理, 产品管管,团队建设 有参考作用 , 您可能感兴趣的文章:
领导人怎样带领好团队
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构设计
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构设计演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式领导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构设计思路
IT基础架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务设计流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变
如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:
![MegadotnetMicroMsg_thumb1_thumb1_thu[2]](http://images.cnitblog.com/blog/15172/201503/211054051419485.jpg "MegadotnetMicroMsg_thumb1_thumb1_thu[2]")
作者:Petter Liu
出处:http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
该文章也同时发布在我的独立博客中-Petter Liu Blog。
