PMP ,专注于WEB功能测试、性能测试、安全测试的研究,从事全面质量管理工作。曾任多家公司测试经理、测试主管。在电子政务、银行、电商、跨境电商、直播电商领域工作多年,曾获得某龙头集团公司公测一等奖,曾任职某头部直播电商公司测试团队负责人,具有业务敏感性,擅长从0到1搭建测试团队,具有海外工作经历,以及质量管理体系搭建。邮箱:89233502@qq.com
安全漏洞checklist
上一篇 /
下一篇 2013-09-23 19:42:27
/ 个人分类:安全测试
安全漏洞checklist
| NO | 检查点 |
|---|
| 1 | 严禁在自己系统处理用户Login,必须使用腾讯公司统一提供的登录接口或者参数openid/openkey登录。
应用中需要考虑对登录态做校验。详见这里的说明。
|
| 2 | 严禁增/删/改防火墙iptables,私自开通高危端口。 |
| 3 | 检查Flash跨域策略文件crossdomain.xml是否合法。 |
| 4 | 检查是否有CSRF漏洞。 |
| 5 | 信息泄露漏洞安全性检查(例如test.cgi、phpinfo.php、info.pho、.svn/entries、HTTP认证泄漏漏洞、管理后台泄漏漏洞、内网信息泄漏漏洞、错误详情信息泄漏等)。 |
| 6 | 检查是否有XSS漏洞(不合法的参数不能在页面原样返回,特别是openid/openkey) |
| 7 | 检查是否泄漏后台默认文件漏洞 |
| 8 | 检查Flash跨域策略文件的安全性。避免Flash注入javascript或者actionscript脚本在浏览器或者flash中执行跨站攻击。 |
| 9 | Cookie安全性检查。 |
| 10 | 检查是否有跳转漏洞。 |
| 11 | 检查是否有Header注入漏洞。 |
| 12 | 检查是否有源代码泄漏漏洞。 |
| 13 | 检查是否有Frame-proxy攻击漏洞。 |
| 14 | 检查是否有SQL注入攻击漏洞。 |
| 15 | 检查是否有并发漏洞。 |
| 16 | 敏感信息检查。应用需要对可能造成腾讯公司公关、媒体危机的敏感内容,以及用户生成内容(UGC,由用户发表的言论)进行检查和过滤。
敏感词过滤必须采用腾讯公司提供的敏感词过滤接口。
|
| 17 | 检查通过WEB页面发起的临时会话窗口的所有显示内容。
|
| 18 | 目录浏览漏洞安全性检查 |
| 19 | 检查是否泄漏员工电子邮箱漏洞以及分机号码。 |
收藏
举报
TAG:
