渗透测试网页检查清单

侦察阶段

• 大型：拥有多个域名的整公司

• 媒介：单一域

• 小型：一个网站

大范围

• 获取IP范围的ASN（amass-arrow-up-right，asnlookup-arrow-up-right，metabigor-arrow-up-right，bgp）)

• 查看最新收购（

• 按注册者获取关系（查看DNS右）)

• 每个领域都切换到中等范围

中等范围

• 枚举子域（amass 或 subfinder with 所有可用 API 密钥）

• 子领域暴力破解（puredns 与单词列表箭头)

• 置换子域（gotator 或ripgen with wordlist)

• 识别活体子域（httpx 箭）)

• 子域接管（核-接管箭)

• 检查云资产（cloudenum 右）)

• 初段搜索

• 转运区箭

• 子域递归搜索

• 截图（gowitness 箭头，web截图箭，aquatone)

小范围

• 识别网页服务器、技术和数据库（httpx）)

• 试着定位，然后/robots.txt/crossdomain.xml/clientaccesspolicy.xml/sitemap.xml/.well-known/

• 审阅源代码注释（Burp Engagement Tools）

• 目录枚举

• 网页模糊（ffuf和单词列表)

• 查找泄露的ID、邮件（pwndb）)

• 识别WAF（)

• 谷歌谷歌 dorking

• GitHub dorking/Github 工具（githound)

• 获取urls（gau)

• 检查潜在的易受攻击的URL（gf-patterns）)

• 自动XSS取景器（dalfox箭头）)

• 查找管理员和登录面板

• 断链劫持（蓝图右）)

• 获取所有JS文件（subjs)

• JS 硬编码的 API 和秘密（核标记，)

• JS分析（subjs)

• 运行自动扫描仪（核)

• 测试CORS（CORScanner箭头，Corsy箭）)

网络

• 允许检查ICMP数据包

• 请查看DMARC/SPF政策（伪造箭方）)

• 开口时，Shodan

• 端口扫描到所有端口

• 检查UDP端口（udp-proto-scanner、或nmap）

• Test SSL （testssl)

• 如果有信用，可以试试用的密码喷射，查看所有发现的服务

准备

• 研究地点结构

• 列出所有可能的测试用例

• 了解业务领域及其客户需求

• 获取所有资产的清单（all_subdomains.txt、live_subdomains.txt、waybackurls.txt、hidden_directories.txt、nmap_results.txt、GitHub_search.txt、altdns_subdomain.txt、vulnerable_links.txt、js_files.txt）

用户管理

注册

• 重复注册（尝试用大写字母+1@...，名字中的点等）

• 覆盖现有用户（现有用户接管）

• 用户名独特性

• Weak password policy （user=password， password=123456,111111，abcabc，qwerty12）

• 邮件验证流程不充分（账户也 my%00email@mail.com TKO）

• 注册实施薄弱或允许一次性邮箱地址

• 用户创建后用Fuzz检查是否有文件夹被覆盖或用你的个人资料名创建

• 密码中只添加空格

• 长密码（>200）会导致拒绝服务

• 认证损坏和会话缺陷：注册后不验证，请求更改密码，更改，检查账户是否活跃。

• 尝试重新注册，重复同样的请求，密码相同，密码不同

• 如果是 JSON 请求，请添加逗号 {“email”：“victim@mail.com”，“hacker@mail.com”，“token”：xxxxxxxxx“}

• 缺乏确认——>尝试用公司邮箱注册。

• 通过社交媒体注册查看OAuth

• 请检查社交媒体注册时的州参数

• 尝试捕获集成URL导致集成接管

• 登录后请在注册页面查看重定向

• 账户创建的速率上限

• XSS 在名称或邮箱中

认证

• 用户名枚举

• 密码猜测的韧性

• 账户恢复功能

• “记住我”功能

• 模拟功能

• 不安全的凭证分发

• 失效开路条件

• 多级机构

• SQL 注入

• 自动完成测试

• 更改邮件、密码或双重验证时缺乏密码确认（尝试更改回复）

• 如果HTTP和HTTPS都可用，登录功能较弱

• 用户账户锁定机制关于暴力破解攻击

• 检查密码单词列表（cewl 和 burp-goldenNuggets)

• 测试 Open Redirect 的 0auth 登录功能

• SAML认证中的测试响应篡改

• 在OTP中检查可猜码和竞态条件

• OTP，检查响应作以实现绕过

• OTP，试试暴力破解

• 如果是JWT，可以检查常见缺陷

• 浏览器缓存的弱点（例如 Pragma、过期、最大年龄）

• 注册、登出、清理缓存后，进入主页并在浏览器中粘贴你的个人资料链接，检查“login？next=accounts/profile”，打开重定向或用“/login？next=javascript：alert（1）;//”

• 尝试用常用凭证登录

会议

• 会话处理

• 意义测试标记

• 预测性测试令牌

• 不安全的令牌传输

• 日志中代币的披露

• 令牌映射到会话

• 会话终止

• 会话固定

• 跨站请求伪造

• Cookie 范围

• 解码Cookie（Base64、十六进制、URL等）

• 饼干的有效期

• 检查HTTPOnly和Secure标志

• 使用来自不同有效IP地址或系统的同一个Cookie

• 访问控制

• 多账户控制的有效性

• 不安全的访问控制方法（请求参数、Referer头部等）

• 检查是否通过不同机器/IP同时登录

• 绕过反CSRF令牌

• 弱生成的安全问题

• Cookie 上的路径遍历

• Reuse cookie after session closed

• Logout and click browser "go back" function (Alt + Left arrow)

• 2 instances open, 1st change or reset password, refresh 2nd instance

• With privileged user perform privileged actions, try to repeat with unprivileged user cookie.

Profile/Account details

• Find parameter with user id and try to tamper in order to get the details of other users

• Create a list of features that are pertaining to a user account only and try CSRF

• Change email id and update with any existing email id. Check if its getting validated on server or not.

• Check any new email confirmation link and what if user doesn't confirm.

• File upload: eicar, No Size Limit, File extension, Filter Bypass, burp extension, RCE

• CSV import/export: Command Injection, XSS, macro injection

• Check profile picture URL and find email id/user info or EXIF Geolocation Data

• Imagetragick in picture profile upload

• Metadataof all downloadable files (Geolocation, usernames)

• Account deletion option and try to reactivate with "Forgot password" feature

• Try bruteforce enumeration when change any user unique parameter.

• Check application request re-authentication for sensitive operations

• Try parameter pollution to add two values of same field

• 查看不同的职位政策

忘记/重置密码

• 登出时会话失效并重置密码

• 忘记密码重置链接/代码的唯一性

• 重置链路的到期时间

• 找到重置链接中的用户ID或其他敏感字段并进行篡改

• 请求两个重置密码链接，使用旧的

• 检查是否有多个请求具有顺序令牌

• 使用username@burp_collab.net分析回电

• 令牌泄漏的主机头注入

• 添加X转发主机：evil.com 接收重置链路 evil.com

• 像victim@gmail.com@target.com那样的邮件创作

• IDOR 在重置链路中

• 捕获重置令牌并与其他邮箱/用户ID一起使用

• 邮件参数中没有顶级域名

• 用户完全复制email=victim@mail.com%0a%0dcc:hacker@mail.com

• 长密码（>200）会导致拒绝服务

• 无速率限制，捕获请求并发送超过1000次

• 检查重置密码令牌中的加密

• referer 头部的令牌泄漏

• 添加第二封邮件参数和值

• 了解代币的生成方式（时间戳、用户名、出生日期,...）

• 响应作

输入处理

• 所有请求参数都失真（如果有用户，给fuzzer添加首部）

• 识别所有反射数据

• 反射XSS

• HTTP 头部注入 GET & POST（X Forwarded Host）

• 通过Referer头部获取RCE

• 通过用户代理头进行SQL注入

• 任意重定向

• 存储攻击

• 作系统命令注入

• 路径遍历、LFI和RFI

• 脚本注入

• 文件包含

• SMTP 注入

• 原生软件缺陷（缓冲区溢出、整数错误、格式化字符串）

• SOAP注射

• LDAP注入

• SSI注射

• XPath注入

• 在任何请求中，将内容类型更改为文本/XML

• 存储的XSS

• 带有 ' 和 '--+- 的 SQL 注入

• NoSQL 注入

• HTTP 请求走私

• 开放式重定向

• 代码注入（存储参数上的<h1>six2dez</h1>）

• 此前发现的开放端口中的SSRF 

• xmlrpc.php DOS和用户枚举

• HTTP 危险方法 选项 置 删除

• 尝试发现隐藏参数（arjun或 parameth 箭头)

• 不安全反序列化

错误处理

• 访问自定义页面如 /whatever_fake.php（.aspx，.html 等）

• 在GET和POST请求中添加多个参数，使用不同的值

• 在 cookie 值和参数值中添加“[]”、“]]”和“[[”以制造错误

• 通过在URL末尾输入“/~randomthing/%s”来产生错误

• 输入中使用Burp Intruder“Fuzzing Full”列表生成错误代码

• 试试不同的HTTP动词，比如PATCH、DEBUG，或者错误的FAKE。

应用逻辑

• 识别逻辑攻击面

• 通过客户端测试数据传输

• 测试对客户端输入验证的依赖度

• 厚客户端组件（Java、ActiveX、Flash）

• 逻辑缺陷的多阶段过程

• 处理不完整输入

• 信托边界

• 交易逻辑

• 在邮件表单中实现了验证码以避免泛滥

• 在任何作中篡改产品ID、价格或数量价值（添加、修改、删除、放置、支付等）

• 篡改礼品或折扣码

• 重复使用礼品代码

• 尝试参数污染，在同一请求中两次使用礼品代码

• 尝试将存储的XSS放在非受限字段，比如地址

• 如果CVV和卡号是明文或隐藏的，请在付款表格中查看

• 检查是应用本身处理还是发送给第三方

• 其他用户的IDOR详细信息，工单/购物车/运单

• 检查允许的测试信用卡号，比如4111 1111 1111 1111（示例1：样本2-）)

• 检查打印或PDF创建IDOR文件

• 查看用户列举中的取消订阅按钮

• 社交媒体分享链接中的参数污染

• 将POST敏感请求改为GET

其他检定

基础设施

• 共享基础设施中的隔离

• ASP托管应用之间的隔离

• 网络服务器漏洞

• 危险的HTTP方法

• 代理功能

• 虚拟托管配置错误)

• 请求中检查内部数字IP。

• 检查外部数字IP，并解决它

• 测试云存储

• 检查是否有其他频道（www.web.com vs m.web.com）

验证码

• 发送旧验证码。

• 发送带有旧会话ID的旧验证码。

• 请求绝对路径验证码，就像 www.url.com/captcha/1.png

• 移除任何广告拦截验证码，再次请求

• 用OCR工具绕过（简单，右一个）)

• 从POST改为GET

• 移除验证码参数

• 将 JSON 请求转换为正常

• 试试头部注入

安全头部

• X-XSS保护

• 严格-传输-安全

• 内容-安全-策略

• 公钥钉

• X帧选项

• X-内容-类型-选项

• Referer-Policy

• 缓存控制

• 过期