Skip to content

测试敏感信息的文件扩展名处理

概述

测试目标

  • [ ] 不敏感的文件扩展名或可能包含原始数据的扩展名(例如脚本、原始数据、凭据等)。
  • [ ] 验证规则集上不存在系统框架绕过

如何测试

强制浏览

枚举基础设施和应用程序管理界面

概括

测试目标

  • [ ] 识别隐藏的管理员界面和功能

测试HTTP方法

测试目标

  • [ ] 枚举支持的HTTP方法
  • [ ] 测试访问控制绕过
  • [ ] 测试 XST 漏洞
  • [ ] 测试 HTTP 方法重写技术

测试 HTTP 严格传输安全性

测试目标

  • [ ] 检查 HSTS 标头及其有效性

测试 RIA 跨域策略

测试目标

  • [ ] 检查并验证策略文件

测试文件权限

测试目标

  • [ ] 检查并识别任何恶意文件权限

子域接管测试

测试目标

  • [ ] 枚举所有可能的子域
  • [ ] 识别被遗忘或错误配置的域

测试云存储

测试目标

  • [ ] 评估存储服务的访问控制配置是否正确到位