渗透测试的内容
- 格式:pdf
- 大小:81.75 KB
- 文档页数:2
渗透测试的内容
1.验证码爆破:可以通过获取验证码来找到,在该⽹站上的⼿机号,然后通过修改⼿机密码的获取验证码的时间段内,进⾏验证码爆破
解决就是:登录时,不给出明确的账号提⽰。修改密码的时候获取验证码后使⽤验证码⼀次后不论正确与否都需要重新获取验证码
⽤户名枚举,⼿机号枚举,邮箱枚举:做次数限制,超过次数,限制10分钟
密码爆破:增加密码的复杂度字母⼤⼩写+数字,且做错误次数处理,超过10次,封号⼀天
登录提⽰:账号或密码错误
2.xss(⼩⼼其他⽹站的接⼝返回),
3.crsf,
4sql注⼊,
5.弱密码(8位以上三个不同字符)
6.双因⼦验证
7.⽔平越权(修改他⼈信息)
8.越权⽂件⽬录遍历(限制⽂件的名称,执⾏权限,虚拟根⽬录)
9.运⾏账号权限测试
10.web服务器端⼝扫描
11.http⽅法测试
12.web服务器版本信息收集和利⽤
13.⽹站⽬录和归档⽂件遍历测试
14.robots页⾯敏感信息查找
15.中间件管理控制台检测
16.web管理控制台检测
17.验证码测试
18.认证错误提⽰
19.锁定策略测试
20.认证绕过测试
21.找回密码测试
22.不安全的数据传输
23.强⼝令策略测试
24.权限横向测试
25.权限纵向测试
26.⽂件上传测试
27.⽂件下载测试(⽤户越权下载)
28.⽂件下载测试(操作系统越权)
29.链接数据库的账号密码加密测试
30.系统异常处理(不存在的url)测试
31.系统异常处理(⾮法字符)测试32.跨站脚本(get,posst)
33.sql注⼊测试
系统对⼀个访问帐户或⼀个请求进程占⽤的资源分配做限制:指的就是ngnix配置的单个进程的最⼤连接数
管理员闲时会话⾃动退出(30分钟),然后就是账号过期时间