总体分为两个大块,信息收集和渗透测试两部分,大概整理了400个测试点     #转载大佬的文章

信息收集

一.识别架构

1.架构识别

 

 

 2.文档

 

 

 

 

二.检查文档接口情况

1.自动化测试

 

 

 2.人工测试

 

 

 

三.搜索API接口

1.流量分析

 

 

 

 

2.安卓应用

 

 

 

3.历史镜像记录

 

 

 

4.路径

 

 

 5.Key/token识别

 

 

 6.dork

 

 

 

7.更多搜索

 

 

 8.api目录

 

 

 四.枚举

1.端口

 

 

 

2.工具

 

 

 

五.支持的content type类型

 

 

 

 

渗透测试部分

一.权限测试

1.端口id测试

 

 

 

2.测试回包

 

 

 

 

3.工具

 

 

 

 

二.身份验证测试

1.测试

 

 

 2.JWT

 

 

 

 

 

 3.Oauth

 

 

 

 三.过度的数据公开

 

 

 

四.压力测试

 

 

 五.测试功能函数

 

 

 

六.大量赋值

1.枚举对象属性

 

 

 

2.制造request的payloads

 

 

 

七.安全配置错误

 

 

 

八.注入

 

 

 

九.不当资产管理

 

 

 

 

 

信息收集

一.识别架构

1.架构识别

图片

2.文档

图片

二.检查文档接口情况

    1. 自动化测试

       

       

      图片

           

  1. 人工测试

     

图片

三.搜索API接口

  1. 流量分析

图片

  1. 安卓应用

    图片

     

  2. 历史镜像记录

    图片

     

  3. 路径

    图片

     

  4. Key/token识别

    图片

     

  5. dork

    图片

     

  6. 更多搜索

    图片

     

  7. api目录

    图片

     

四.枚举

  1. 端口

     

    图片

  2. 工具

     

    图片

     

五.支持的content type类型

图片

 

渗透测试部分

一.权限测试

1.端口id测试

图片

2.测试回包

图片

3.工具

图片

二.身份验证测试

  1. 测试

    图片

  2. JWT

    图片

    图片

  3. Oauth

     

    图片

     

三.过度的数据公开

图片

四.压力测试

图片

五.测试功能函数

图片

六.大量赋值

1.枚举对象属性

图片

2.制造request的payloads

图片

七.安全配置错误

图片

八.注入

图片

九.不当资产管理

图片

原文地址:http://www.cnblogs.com/cowpokee/p/16913214.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性