小程序渗透测试检测项
更新于: 2022-08-10 11:10
小程序渗透测试 |
|
|
|
安全类别 |
测试项 |
风险等级 |
渗透测试 |
通用web安全 |
1.反射型XSS |
中 |
支持 |
|
2.存储型XSS |
高 |
支持 |
|
3.DOM XSS |
中 |
支持 |
|
4. CSRF |
中 |
支持 |
|
5. SSRF |
高 |
支持 |
|
6. 命令注入 |
高 |
支持 |
|
7. SQL注入 |
高 |
支持 |
|
8. CRLF注入 |
高 |
支持 |
|
9. 代码注入 |
高 |
支持 |
|
10. 文件上传 |
中 |
支持 |
|
11. 文件包含/读取 |
高 |
支持 |
|
12. 文件/目录浏览 |
低 |
支持 |
|
13. 敏感路径泄露 |
低 |
支持 |
|
14. URL重定向漏洞 |
中 |
支持 |
|
15. 不安全的对象直接引用 |
高 |
支持 |
|
16. 限制URL访问失败 |
中 |
支持 |
|
17. 应用已知脆弱性的组件 |
高 |
支持 |
|
18. Web服务信息泄漏 |
低 |
支持 |
|
19. 证书安全检测 |
中 |
支持 |
|
20. 不安全的HTTP请求方法 |
低 |
支持 |
服务器系统安全 |
21. 系统安全配置有误 |
中 |
支持 |
|
22. 系统安全漏洞 |
高 |
支持 |
|
23. 系统存在弱口令 |
高 |
支持 |
|
24. 存在有风险的账号 |
中 |
支持 |
|
25. 存在有风险的服务 |
中 |
支持 |
|
26. 存在危险的端口 |
中 |
支持 |
|
27. 系统信息泄露 |
中 |
支持 |
|
28. 文件信息泄露 |
中 |
支持 |
程序代码安全 |
29. 小程序API使用安全 |
高 |
支持 |
|
30. 代码未加固 |
高 |
支持 |
|
31. 用户口令泄露 |
高 |
支持 |
|
32. 加密key泄漏 |
中 |
支持 |
|
33. 测试接口暴露 |
低 |
支持 |
|
34. 内部信息泄漏 |
中 |
支持 |
服务组件安全 |
35. JSONP漏洞检测 |
高 |
支持 |
|
36. Fastjson漏洞检测 |
高 |
支持 |
|
37. Structs2漏洞检测 |
高 |
支持 |
|
38. ThinkPHP漏洞检测 |
中 |
支持 |
|
39. Webpack漏洞检测 |
中 |
支持 |
|
40. Shiro漏洞检测 |
高 |
支持 |
业务安全 |
41.【账号体系安全】验证码安全 |
中 |
支持 |
|
42.【账号体系安全】批量注册 |
高 |
支持 |
|
43.【账号体系安全】登陆态无校验 |
致命 |
支持 |
|
44.【账号体系安全】绕过限制登陆 |
高 |
支持 |
|
45.【账号体系安全】伪造身份 |
高 |
支持 |
|
46.【账号体系安全】用户信息泄漏 |
高 |
支持 |
|
47.【账号体系安全】越权篡改个人信息 |
高 |
支持 |
|
48.【交易体系安全】越权购买商品 |
高 |
支持 |
|
49.【交易体系安全】购买结算逻辑异常 |
高 |
支持 |
|
50.【交易体系安全】高并发交易缺陷 |
高 |
支持 |
|
51.【交易体系安全】支付/购买溢出 |
致命 |
支持 |
|
52.【交易体系安全】越权操作订单 |
高 |
支持 |
|
53.【交易体系安全】恶意开发票 |
高 |
支持 |
|
54.【交易体系安全】盗刷优惠券/积分 |
致命 |
支持 |
|
55.【交易体系安全】盗刷金钱/物品 |
致命 |
支持 |
|
56.【交易体系安全】恶意退款/退货 |
高 |
支持 |
|
57.【交易体系安全】会员卡盗用 |
致命 |
支持 |
|
58.【交易体系安全】会员卡注册/充值缺陷 |
高 |
支持 |
|
59.【交易体系安全】订单信息泄漏 |
高 |
支持 |
|
60.【交易体系安全】分享链接风险 |
中 |
支持 |
|
61.【其他业务安全】弱加密签名 |
中 |
支持 |
|
62.【其他业务安全】业务信息泄露 |
高 |
支持 |
|
63.【其他业务安全】业务爬虫风险 |
中 |
支持 |
|
64【其他业务安全】绕过客户端限制 |
低 |
支持 |
|
65.【其他业务安全】内容安全风险 |
中 |
支持 |