Month: September 2017

0x04 OTG-AUTHN 认证测试

0x04 OTG-AUTHN 认证测试 加密信道传输凭证测试(OTG-AUTHN-001) 综述 用户凭证是否加密传输 传输信道是否加密 传输信道是否能够被嗅探 HTTPS建立在TLS/SSL之上,弱SSL/TLS 如何测试 黑盒 通过HTTP使用POST方法发送数据 通过HTTPS …

0x03 OTG-IDENT 身份鉴别管理测试

0x03 OTG-IDENT 身份鉴别管理测试 角色定义测试(OTG-IDENT-001) 综述 大多数系统至少存在两个角色 管理员:允许访问特权功能和敏感信息 普通用户:允许访问常规业务功能和信息 测试目标 验证应用的角色有效区分,并区别相应的权限 如何测 …

0x02 OTG-CONFIG 配置以及部署管理测试

0x02 OTG-CONFIG 配置以及部署管理测试 网络基础设施配置管理测试(OTG-CONFIG-001) 综述 在测试配置管理设置中可能用到的步骤 应确定组成基础设施的不同元素,及这些元素与Web应用如何交互,对安全会造成什么影响 审查所有组成基础设施的 …