测试清单

优质
小牛编辑
132浏览
2023-12-01

下列是评估过程中的测试项目清单:

索引测试类别测试名称
4.2信息收集
4.2.1OTG-INFO-001搜索引擎信息发现和侦察
4.2.2OTG-INFO-002识别web服务器
4.2.3OTG-INFO-003web服务器元文件信息发现
4.2.4OTG-INFO-004服务器应用应用枚举
4.2.5OTG-INFO-005评论信息发现
4.2.6OTG-INFO-006应用入口识别
4.2.7OTG-INFO-007识别应用工作流程
4.2.8OTG-INFO-008识别web应用框架
4.2.9OTG-INFO-009识别web应用程序
4.2.10OTG-INFO-010绘制应用架构图
4.3配置以及部署管理测试
4.3.1OTG-CONFIG-001网络基础设施配置测试
4.3.2OTG-CONFIG-002应用平台配置管理测试
4.3.3OTG-CONFIG-003文件扩展名处理测试
4.3.4OTG-CONFIG-004备份、未链接文件测试
4.3.5OTG-CONFIG-005枚举管理接口测试
4.3.6OTG-CONFIG-006HTTP方法测试
4.3.7OTG-CONFIG-007HTTP严格传输安全测试
4.3.8OTG-CONFIG-008应用跨域策略测试
4.4身份鉴别管理测试
4.4.1OTG-IDENT-001角色定义测试
4.4.2OTG-IDENT-002用户注册过程测试
4.4.3OTG-IDENT-003帐户权限变化测试
4.4.4OTG-IDENT-004帐户枚举测试
4.4.5OTG-IDENT-005弱用户名策略测试
4.5认证测试
4.5.1OTG-AUTHN-001口令信息加密传输测试
4.5.2OTG-AUTHN-002默认口令测试
4.5.3OTG-AUTHN-003帐户锁定机制测试
4.5.4OTG-AUTHN-004认证绕过测试
4.5.5OTG-AUTHN-005记住密码功能测试 functionality
4.5.6OTG-AUTHN-006浏览器缓存弱点测试
4.5.7OTG-AUTHN-007密码策略测试
4.5.8OTG-AUTHN-008安全问答测试
4.5.9OTG-AUTHN-009密码重置测试
4.5.10OTG-AUTHN-010其他相关认证渠道测试
4.6授权测试
4.6.1OTG-AUTHZ-001目录遍历/文件包含测试
4.6.2OTG-AUTHZ-002授权绕过测试
4.6.3OTG-AUTHZ-003权限提升测试
4.6.4OTG-AUTHZ-004不安全对象直接引用测试
4.7会话管理测试
4.7.1OTG-SESS-001会话管理绕过测试
4.7.2OTG-SESS-002Cookies属性测试
4.7.3OTG-SESS-003会话固定测试
4.7.4OTG-SESS-004会话令牌泄露测试
4.7.5OTG-SESS-005跨站点请求伪造(CSRF)测试
4.7.6OTG-SESS-006登出功能测试
4.7.7OTG-SESS-007会话超时测试
4.7.8OTG-SESS-008会话令牌重载测试
4.8输入验证测试
4.8.1OTG-INPVAL-001反射型跨站脚本测试
4.8.2OTG-INPVAL-002存储型跨站脚本测试
4.8.3OTG-INPVAL-003HTTP谓词伪造测试
4.8.4OTG-INPVAL-004HTTP参数污染测试
4.8.5OTG-INPVAL-005SQL注入测试
4.8.5.1Oracle注入测试
4.8.5.2MySQL注入测试
4.8.5.3SQL Server注入测试
4.8.5.4PostgreSQL注入测试
4.8.5.5MS Access注入测试
4.8.5.6NoSQL注入测试
4.8.6OTG-INPVAL-006LDAP注入测试
4.8.7OTG-INPVAL-007ORM注入测试
4.8.8OTG-INPVAL-008XML注入测试
4.8.9OTG-INPVAL-009SSI注入测试
4.8.10OTG-INPVAL-010XPath注入测试
4.8.11OTG-INPVAL-011IMAP/SMTP注入测试
4.8.12OTG-INPVAL-012代码注入测试
4.8.12.1本地文件包含测试
4.8.12.2远程文件包含测试
4.8.13OTG-INPVAL-013命令执行注入测试
4.8.14OTG-INPVAL-014缓冲区溢出测试
4.8.14.1堆溢出测试
4.8.14.2栈溢出测试
4.8.14.3格式化字符串测试
4.8.15OTG-INPVAL-015潜伏式漏洞测试
4.8.16OTG-INPVAL-016HTTP分割/伪造测试
4.9错误处理测试
4.9.1OTG-ERR-001错误码分析
4.9.2OTG-ERR-002栈追踪分析
4.10密码学测试
4.10.1OTG-CRYPST-001弱SSL/TLS加密,不安全的传输层防护测试
4.10.2OTG-CRYPST-002Padding Oracle测试
4.10.3OTG-CRYPST-003非加密信道传输敏感数据测试
4.11业务逻辑测试
4.11.1OTG-BUSLOGIC-001业务逻辑数据验证测试
4.11.2OTG-BUSLOGIC-002请求伪造能力测试
4.11.3OTG-BUSLOGIC-003完整性测试
4.11.4OTG-BUSLOGIC-004过程时长测试
4.11.5OTG-BUSLOGIC-005功能使用次数限制测试
4.11.6OTG-BUSLOGIC-006工作流程绕过测试
4.11.7OTG-BUSLOGIC-007应用误用防护测试
4.11.8OTG-BUSLOGIC-008非预期文件类型上传测试
4.11.9OTG-BUSLOGIC-009恶意文件上传测试
4.12客户端测试
4.12.1OTG-CLIENT-001基于DOM跨站脚本测试
4.12.2OTG-CLIENT-002JavaScript脚本执行测试
4.12.3OTG-CLIENT-003HTML注入测试
4.12.4OTG-CLIENT-004客户端URL重定向测试
4.12.5OTG-CLIENT-005CSS注入测试
4.12.6OTG-CLIENT-006客户端资源操纵测试
4.12.7OTG-CLIENT-007跨源资源分享测试
4.12.8OTG-CLIENT-008Flash跨站测试
4.12.9OTG-CLIENT-009点击劫持测试
4.12.10OTG-CLIENT-010WebSockets测试
4.12.11OTG-CLIENT-011Web消息测试
4.12.12OTG-CLIENT-012本地存储测试