类别	测试项
认证鉴权	登录密码是否加密
	是否可猜解用户名
	是否可批量注册用户
	是否存在验证码
	验证码有效性
	是否登录会话固定
	会话ID是否足够复杂
	注销功能是否有效
	登录身份校验算法是否可逆
	修改密码处是否验证旧密码
	Cookie中是否存在敏感信息
信息泄露	是否存在中间件错误页面
	是否暴露异常处理报错信息
	是否存在源代码泄露
	源代码注释信息
	是否存在用户敏感信息明文传输
文件I/O	是否存在任意文件上传
	是否存在任意文件下载
	是否存在文件包含漏洞
数据验证	是否存在反射型XSS
	是否存在存储型XSS
	是否存在DOM型的XSS
	是否存在SQL注入漏洞
	是否存在命令执行漏洞
	是否存在URL跳转漏洞
	是否http头CRLF注入
	是否存在SSRF漏洞
	是否存在跨站请求伪造漏洞
逻辑流程	是否存在横向越权
	是否存在垂直越权
	是否存在逻辑绕过
	是否存在未授权访问
组件安全	是否存在中间件组件漏洞
	是否开发组件漏洞
接口安全	是否存在短信炸弹漏洞
	是否存在邮件炸弹漏洞
	是否存在微信推送炸弹漏洞
其他	是否存在危险的HTTP方法
	是否CORS配置不当
	是否能存在HOST攻击
	是否存在接口请求未鉴权