JAVA代码审计业务安全Checklist

类别 测试项
认证鉴权 登录密码是否加密
是否可猜解用户名
是否可批量注册用户
是否存在验证码
验证码有效性
是否登录会话固定
会话ID是否足够复杂
注销功能是否有效
登录身份校验算法是否可逆
修改密码处是否验证旧密码
Cookie中是否存在敏感信息
信息泄露 是否存在中间件错误页面
是否暴露异常处理报错信息
是否存在源代码泄露
源代码注释信息
是否存在用户敏感信息明文传输
文件I/O 是否存在任意文件上传
是否存在任意文件下载
是否存在文件包含漏洞
数据验证 是否存在反射型XSS
是否存在存储型XSS
是否存在DOM型的XSS
是否存在SQL注入漏洞
是否存在命令执行漏洞
是否存在URL跳转漏洞
是否http头CRLF注入
是否存在SSRF漏洞
是否存在跨站请求伪造漏洞
逻辑流程 是否存在横向越权
是否存在垂直越权
是否存在逻辑绕过
是否存在未授权访问
组件安全 是否存在中间件组件漏洞
是否开发组件漏洞
接口安全 是否存在短信炸弹漏洞
是否存在邮件炸弹漏洞
是否存在微信推送炸弹漏洞
其他 是否存在危险的HTTP方法
是否CORS配置不当
是否能存在HOST攻击
是否存在接口请求未鉴权
赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址