owasp 测试指南 v4.0 PDF 文档

Question

OWASP 的宗旨：技术的开放与协作，我们意识到这份新的测试指南 4.0 将会成为实施 web 应用渗透测的标准。

这份指南整合了另外两个旗舰级的 OWASP 文档：开发者指南和代码评估指南。我们重新编排了章节和测试顺序，目的就是通过测试和代码评估来达到开发者指南中描述的安全控制。

所有章节都被改进，并扩充至87个测试案例（v3版本是64个），包括4项新的章节。

在指南中我们希望大家不仅仅简单应用测试案例，更加鼓励安全测试人员整合和发现更多的相关测试案例。如果发现的测试案例能广泛应用，我们鼓励大家分享他们，并回馈测试指南。这将建立起更加丰富的安全知识，并将指南发展过程迭代化，而不是仅仅单次发展。

说明
序
简介
OWASP测试框架
Web应用安全测试
简介与目标
测试清单
信息收集
搜索引擎信息发现和侦察 (OTG-INFO-001)
识别web服务器 (OTG-INFO-002)
web服务器元文件信息发现 (OTG-INFO-003)
服务器应用应用枚举 (OTG-INFO-004)
评论信息发现 (OTG-INFO-005)
应用入口识别 (OTG-INFO-006)
识别应用工作流程 (OTG-INFO-007)
识别web应用框架 (OTG-INFO-008)
识别web应用程序 (OTG-INFO-009)
绘制应用架构图 (OTG-INFO-010)
配置以及部署管理测试
网络基础设施配置测试 (OTG-CONFIG-001)
应用平台配置管理测试 (OTG-CONFIG-002)
文件扩展名处理测试 (OTG-CONFIG-003)
备份、未链接文件测试 (OTG-CONFIG-004)
枚举管理接口测试 (OTG-CONFIG-005)
HTTP方法测试 (OTG-CONFIG-006)
HTTP严格传输安全测试 (OTG-CONFIG-007)
应用跨域策略测试 (OTG-CONFIG-008)
身份鉴别管理测试
角色定义测试 (OTG-IDENT-001)
用户注册过程测试 (OTG-IDENT-002)
帐户权限变化测试 (OTG-IDENT-003)
帐户枚举测试 (OTG-IDENT-004)
弱用户名策略测试 (OTG-IDENT-005)
认证测试
口令信息加密传输测试 (OTG-AUTHN-001)
默认口令测试 (OTG-AUTHN-002)
帐户锁定机制测试 (OTG-AUTHN-003)
认证绕过测试 (OTG-AUTHN-004)
记住密码功能测试 functionality (OTG-AUTHN-005)
浏览器缓存弱点测试 (OTG-AUTHN-006)
密码策略测试 (OTG-AUTHN-007)
安全问答测试 (OTG-AUTHN-008)
密码重置测试 (OTG-AUTHN-009)
其他相关认证渠道测试 (OTG-AUTHN-010)
授权测试
目录遍历/文件包含测试 (OTG-AUTHZ-001)
授权绕过测试 (OTG-AUTHZ-002)
权限提升测试 (OTG-AUTHZ-003)
不安全对象直接引用测试 (OTG-AUTHZ-004)
会话管理测试
会话管理绕过测试 (OTG-SESS-001)
Cookies属性测试 (OTG-SESS-002)
会话固定测试 (OTG-SESS-003)
会话令牌泄露测试 (OTG-SESS-004)
跨站点请求伪造（CSRF）测试 (OTG-SESS-005)
登出功能测试 (OTG-SESS-006)
会话超时测试 (OTG-SESS-007)
会话令牌重载测试 (OTG-SESS-008)
输入验证测试
反射型跨站脚本测试 (OTG-INPVAL-001)
存储型跨站脚本测试 (OTG-INPVAL-002)
HTTP谓词伪造测试 (OTG-INPVAL-003)
HTTP参数污染测试 (OTG-INPVAL-004)
SQL注入测试 (OTG-INPVAL-005)
LDAP注入测试 (OTG-INPVAL-006)
ORM注入测试 (OTG-INPVAL-007)
XML注入测试 (OTG-INPVAL-008)
SSI注入测试 (OTG-INPVAL-009)
XPath注入测试 (OTG-INPVAL-010)
IMAP/SMTP注入测试 (OTG-INPVAL-011)
代码注入测试 (OTG-INPVAL-012)
命令执行注入测试 (OTG-INPVAL-013)
缓冲区溢出测试 (OTG-INPVAL-014)
潜伏式漏洞测试 (OTG-INPVAL-015)
HTTP分割/伪造测试 (OTG-INPVAL-016)
错误处理测试
错误码分析 (OTG-ERR-001)
栈追踪分析 (OTG-ERR-002)
密码学测试
弱SSL/TLS加密，不安全的传输层防护测试 (OTG-CRYPST-001)
Padding Oracle测试 (OTG-CRYPST-002)
非加密信道传输敏感数据测试 (OTG-CRYPST-003)
业务逻辑测试
业务逻辑数据验证测试 (OTG-BUSLOGIC-001)
请求伪造能力测试 (OTG-BUSLOGIC-002)
完整性测试 (OTG-BUSLOGIC-003)
过程时长测试 (OTG-BUSLOGIC-004)
功能使用次数限制测试 (OTG-BUSLOGIC-005)
工作流程绕过测试 (OTG-BUSLOGIC-006)
应用误用防护测试 (OTG-BUSLOGIC-007)
非预期文件类型上传测试 (OTG-BUSLOGIC-008)
恶意文件上传测试 (OTG-BUSLOGIC-009)
客户端测试
基于DOM跨站脚本测试 (OTG-CLIENT-001)
JavaScript脚本执行测试 (OTG-CLIENT-002)
HTML注入测试 (OTG-CLIENT-003)
客户端URL重定向测试 (OTG-CLIENT-004)
CSS注入测试 (OTG-CLIENT-005)
客户端资源操纵测试 (OTG-CLIENT-006)
跨源资源分享测试 (OTG-CLIENT-007)
Flash跨站测试 (OTG-CLIENT-008)
点击劫持测试 (OTG-CLIENT-009)
WebSockets测试 (OTG-CLIENT-010)
Web消息测试 (OTG-CLIENT-011)
本地存储测试 (Local Storage) (OTG-CLIENT-012)
报告编写
附录
附录 A: 测试工具
附录 B: 推荐读物
附录 C: 测试向量
附录 D: 编码注入

下载地址：https://www.wenjiangs.com/wp-content/uploads/staticcdn/pdf/6fcdf7d1-dd5b3cf6.zip