测试敏感信息的文件扩展名处理
概述
测试目标
- [ ] 不敏感的文件扩展名或可能包含原始数据的扩展名(例如脚本、原始数据、凭据等)。
- [ ] 验证规则集上不存在系统框架绕过
如何测试
强制浏览
枚举基础设施和应用程序管理界面
概括
测试目标
- [ ] 识别隐藏的管理员界面和功能
测试HTTP方法
测试目标
- [ ] 枚举支持的HTTP方法
- [ ] 测试访问控制绕过
- [ ] 测试 XST 漏洞
- [ ] 测试 HTTP 方法重写技术
测试 HTTP 严格传输安全性
测试目标
- [ ] 检查 HSTS 标头及其有效性
测试 RIA 跨域策略
测试目标
- [ ] 检查并验证策略文件
测试文件权限
测试目标
- [ ] 检查并识别任何恶意文件权限
子域接管测试
测试目标
- [ ] 枚举所有可能的子域
- [ ] 识别被遗忘或错误配置的域
测试云存储
测试目标
- [ ] 评估存储服务的访问控制配置是否正确到位