Lista de verificação da revisão de segurança da Web

14 de maio de 2017 dhack Web Security and Attacks , z-FrontPage

Coleta de informações 
Conduzir o Descoberta e o Reconhecimento do Search Engine para fugas de informação 
Servidor Web Fingerprint
Revise os metarchivos do Webserver para vazamento de informações  
Enumerar aplicativos no servidor Web 
Revise comentários da página e metadados para fuga de informações  
Identificar pontos de entrada da aplicação  
Caminhos de execução do mapa através da aplicação
Estrutura de aplicação web de impressão digital
Aplicativo Web de impressão digital  
Arquitetura de aplicativos de mapas 
Testes de gerenciamento de configuração e implantação 
Configuração de rede de teste / infra-estrutura  
Configuração da plataforma de teste de teste  
Processamento de extensões de arquivo de teste para informações sensíveis
Revise arquivos antigos, de backup e não referenciados para informações sensíveis 
Enumerar infra-estrutura e interfaces de administração de aplicativos  
Testar métodos HTTP 
Teste HTTP Strict Transport Security
Teste a política de cross-cross do RIA
Teste de Gerenciamento de Identidade 
Definições do papel de teste
Teste o processo de registro do usuário 
Processo de Provisão de Conta de Teste 
Testando a Enumeração de Conta e a Conta de Usuário Guessable 
Testando a política de nome de usuário fraca ou não forçada
Teste de Autenticação 
Teste de credenciais transportadas através de um canal criptografado
Testando credenciais padrão 
Testando mecanismo de bloqueio fraco  
Testando o Esquema de autenticação 
Funcionalidade de teste de lembrança 
Testando a fraqueza do cache do navegador
Testando a política de senha fraca 
Teste de pergunta / resposta de segurança fraca 
Testando a alteração fraca da senha ou as funcionalidades de reinicialização 
Testando a autenticação mais fraca no canal alternativo 
Testar o percurso / arquivo do diretório inclui 
Teste para ignorar o esquema de autorização  
Teste de Escalação Privilegiada  
Testando referências de objetos diretas inseguras  
Teste para ignorar o Esquema de Gerenciamento de Sessão  
Testando Atributos de Cookies
Testando a fixação da sessão 
Testando as variáveis ​​da sessão exposta 
Testes para falsificação de pedido de Cross Site (CSRF) 
Testando a funcionalidade de logout  
Tempo limite da sessão de teste 
Testando a Sessão intrigante  
Testes para scripts de cross-site refletidos 
Teste de Stored Cross Site Scripting 
Testando a falsificação HTTP de verbos  
Teste de poluição de parâmetros HTTP 
Teste de Injeção SQL
Teste do SQL Server 
Testando a injeção noSQL 
Testando a Injeção XML 
Teste de Injeção de SSI
Testando a Injeção XPath
Injeção IMAP / SMTP
Teste de Injeção de Código 
Testando a inclusão de arquivos locais 
Testando a inclusão de arquivos remotos 
Teste de injeção de comando 
Testando o estouro do buffer  
Testando o estouro do heap 
Testando o estouro da pilha 
Teste de seqüência de caracteres de formato 
Teste de vulnerabilidades incubadas (OTG-INPVAL-015) 
Teste de divisão / contrabando de HTTP (OTG-INPVAL-016) 
Testando o Manipulação de Erros 
Análise de códigos de erro  
Análise de Stack Traces 
Testando criptografia fraca 
Teste de Fracções SSL / TLS Fracas, Proteção de Camada de Transporte Insuficiente  
Teste de informações sensíveis enviadas por canais não criptografados 
Validação de dados de lógica de teste de negócios  
Capacidade de teste para forjar solicitações 
Verificações de integridade do teste 
Teste de tempo de processo  
Teste Número de vezes que uma função pode ser usada Limites 
Testando a Circulação de Fluxos de Trabalho  
Testar Defesas contra Aplicação Mis-use  
Carregar o teste de tipos de arquivo inesperados 
Testar Upload de arquivos maliciosos  
Testando scripts baseados em sites baseados em DOM 
Testando a Execução de JavaScript  
Testando a Injeção HTML  
Testando o redirecionamento de URL do lado do cliente 
Testando a Injeção CSS 
Testando a Manipulação de Recursos do lado do cliente
Compartilhamento de recursos do Cross Cross Resource   
Testando o Clickjacking  
Testando WebSockets 
Testar mensagens na Web  
Teste de Armazenamento Local