1、互联网行业安全
| 互联网行业 | |
| 通用业务模块 | 业务逻辑漏洞 |
| 登陆 | 暴力破解用户名密码 |
| 撞库 | |
| 验证码爆破和绕过 | |
| 手机号撞库 | |
| 账户权限绕过 | |
| 注册 | 恶意用户批量注册 |
| 恶意验证注册账户 | |
| 存储型XSS | |
| 密码找回 | 重置任意用户账户密码 |
| 批量重置用户密码 | |
| 新密码劫持 | |
| 短信验证码劫持 | |
| 用户邮箱劫持篡改 | |
| 后台管理 | 管理员用户名密码绕过 |
| 目录遍历 | |
| 会员系统 | 用户越权访问 |
| 个人资料信息泄漏 | |
| 个人资料遍历 | |
| 传输过程 | COOKIE注入 |
| COOKIE跨站 | |
| COOKIE劫持 | |
| 明文传输 | |
| 评论 | POST注入 |
| CSRF | |
| 存储型XSS | |
| 遍历用户名 | |
2、P2P金融行业安全测试
| P2P金融行业 | |
| 通用业务模块 | 业务逻辑漏洞 |
| 登陆 | 暴力破解用户名密码 |
| 撞库 | |
| 验证码爆破和绕过 | |
| 手机号撞库 | |
| 账户权限绕过 | |
| 注册 | 恶意用户批量注册 |
| 恶意验证注册账户 | |
| 存储型XSS | |
| 密码找回 | 重置任意用户账户密码 |
| 批量重置用户密码 | |
| 新密码劫持 | |
| 短信验证码劫持 | |
| 用户邮箱劫持篡改 | |
| 购买支付 | 商品金额篡改 |
| 商品数量篡改 | |
| 交易信息泄漏 | |
| 充值 | 虚假充值金额 |
| 充值数量篡改 | |
| 篡改充值账户 | |
| 抽奖/活动 | 刷取活动奖品 |
| 盗刷积分 | |
| 抽奖作弊 | |
| 代金卷/优惠卷 | 批量刷取代金卷/优惠卷 |
| 更改代金卷金额 | |
| 更改优惠卷数量 | |
| 订单 | 订单信息泄漏 |
| 用户信息泄漏 | |
| 订单遍历 | |
| 账户 | 账户绕过 |
| 账户余额盗取 | |
| 账户绑定手机号绕过 | |
| 会员系统 | 用户越权访问 |
| 个人资料信息泄漏 | |
| 个人资料遍历 | |
| 传输过程 | COOKIE注入 |
| COOKIE跨站 | |
| COOKIE劫持 | |
| 明文传输 | |
| 评论 | POST注入 |
| CSRF | |
| 存储型XSS | |
| 遍历用户名 | |
3、电商行业安全
| 电商行业 | |
| 通用业务模块 | 业务逻辑漏洞 |
| 登陆 | 暴力破解用户名密码 |
| 撞库 | |
| 验证码爆破和绕过 | |
| 手机号撞库 | |
| 账户权限绕过 | |
| 注册 | 恶意用户批量注册 |
| 恶意验证注册账户 | |
| 存储型XSS | |
| 密码找回 | 重置任意用户账户密码 |
| 批量重置用户密码 | |
| 新密码劫持 | |
| 短信验证码劫持 | |
| 用户邮箱劫持篡改 | |
| 购买支付 | 商品金额篡改 |
| 商品数量篡改 | |
| 交易信息泄漏 | |
| 抽奖/活动 | 刷取活动奖品 |
| 盗刷积分 | |
| 抽奖作弊 | |
| 代金卷/优惠卷 | 批量刷取代金卷/优惠卷 |
| 更改代金卷金额 | |
| 更改优惠卷数量 | |
| 订单 | 订单信息泄漏 |
| 用户信息泄漏 | |
| 订单遍历 | |
| 账户 | 账户绕过 |
| 账户余额盗取 | |
| 账户绑定手机号绕过 | |
| 抢购活动 | 低价抢购 |
| 抢购作弊 | |
| 刷单 | |
| 运费 | 运费绕过 |
| 会员系统 | 用户越权访问 |
| 个人资料信息泄漏 | |
| 个人资料遍历 | |
| 传输过程 | COOKIE注入 |
| COOKIE跨站 | |
| COOKIE劫持 | |
| 明文传输 | |
| 评论 | POST注入 |
| CSRF | |
| 存储型XSS | |
| 遍历用户名 | |
| 第三方商家 | 盗号 |
| 商家账户遍历 | |
| 越权访问其他商家用户 | |
4、政务行业安全
| 政务行业 | |
| 通用业务模块 | 业务逻辑漏洞 |
| 登陆 | 暴力破解用户名密码 |
| 撞库 | |
| 验证码爆破和绕过 | |
| 手机号撞库 | |
| 账户权限绕过 | |
| 注册 | 恶意用户批量注册 |
| 恶意验证注册账户 | |
| 存储型XSS | |
| 密码找回 | 重置任意用户账户密码 |
| 批量重置用户密码 | |
| 新密码劫持 | |
| 短信验证码劫持 | |
| 用户邮箱劫持篡改 | |
| 后台管理 | 管理员用户名密码绕过 |
| 目录遍历 | |
| 业务查询 | 恶意查询 |
| 办理人信息泄漏 | |
| 业务办理 | 顶替办理 |
| 绕过业务流程办理 | |
| 篡改其他办理人信息 | |
| 办理人信息泄漏 | |
| 传输过程 | COOKIE注入 |
| COOKIE跨站 | |
| COOKIE劫持 | |
| 明文传输 | |
| 评论 | POST注入 |
| CSRF | |
| 存储型XSS | |
| 遍历用户名 | |
5、电商行业安全服务测试范围
| 电商行业安全服务测试范围 | |
| 常规漏洞名 | 常规漏洞分类 |
| 注入漏洞 | HTML注入-反射性(GET)(POST)(Current URL) |
| HTML注入-存储型 | |
| iFrame注入 | |
| LDAP注入(Search) | |
| 邮件Header注入 | |
| PHP代码注入 | |
| SQL注入(POST/搜索型)(POST/Select) | |
| SQL注入(AJAX/JSON/jQuery) | |
| SQL注入(Login form/Hero)(Login form/User) | |
| SQL注入(SQLite)(Drupal) | |
| SQL注入-存储型(Blog)(SQLite)(User-Agent) | |
| SQL注入-盲注(Boolean-Based)(Time-Based)(SQLite) | |
| XML/XPath注入(Login Form)(Search) | |
| 跨站XSS漏洞 | 跨站(XSS)-反射型(GET) |
| 跨站(XSS)-反射型(POST) | |
| 跨站(XSS)-反射型(JSON) | |
| 跨站(XSS)-反射型(AJAX/JSON) | |
| 跨站(XSS)-反射型(AJAX/XML) | |
| 跨站(XSS)-反射型(Back Button) | |
| 跨站(XSS)-反射型(Login Form) | |
| 跨站(XSS)-反射型(PHP_SELF) | |
| 跨站(XSS)-反射型(User-Agent) | |
| 跨站(XSS)-反射型(Referer) | |
| 跨站(XSS)-存储型(Blog) | |
| 跨站(XSS)-存储型(Change Secret) | |
| 跨站(XSS)-存储型(Cookies) | |
| 跨站(XSS)-存储型(SQLiteManager) | |
| 跨站(XSS)-存储型(User-Agent) | |
| 安全配置错误 | Arbitrary File Access (Samba) |
| Cross-Domain Policy File (Flash) Cross-Origin Resource Sharing(AJAX)Cross-Site Tracing (XST)拒绝服务攻击 (Large Chunk Size) 拒绝服务攻击 (Slow HTTP DoS) 拒绝服务攻击 (SSL-Exhaustion)拒绝服务攻击 (XML Bomb) 错误的安全配置:FTP错误的安全配置:SNMP错误的安全配置:WebDAV 本地权限提升 (sendpage)本地权限提升 (udev)中间人攻击 (HTTP)中间人攻击 (SMTP)各种文件泄露Robots 文件 | |
| 登录认证缺陷 | 登录认证缺陷- 验证码绕过 |
| 登录认证缺陷- 找回密码功能 | |
| 登录认证缺陷- 登录框漏洞 | |
| 登录认证缺陷- 登出管理 | |
| 登录认证缺陷- 密码爆破 | |
| 登录认证缺陷- 弱口令 | |
| 会话管理 – 管理后台 | |
| 会话管理 – Cookies (HTTPOnly) | |
| 会话管理 – Cookies (Secure) | |
| 会话管理 – URL中泄露Session ID | |
| 会话管理 – 强会话 | |
| Insecure Direct Object References | 不安全的直接对象引用 (修改密码) |
| 不安全的直接对象引用 (密码重置) | |
| 不安全的直接对象引用 (订票的例子) | |
| 敏感信息泄露 | Base64编码 |
| BEAST/CRIME/BREACH Attacks | |
| HTTP明文传输用户名和密码 | |
| 心脏滴血漏洞 | |
| Host Header 攻击(Reset 投毒) | |
| HTML5 Web Storage (Secret) | |
| POODLE Vulnerability | |
| SSL 2.0 Deprecated Protocol | |
| 文本文件(账号) | |
| 权限控制不严格 | 目录遍历 – Directories |
| 目录遍历 – Files | |
| Host Header 攻击 (缓存投毒) | |
| Host Header 攻击(Reset 投毒) | |
| 本地文件包含 (SQLiteManager) | |
| Remote & 本地文件包含 (RFI/LFI) | |
| 限制访问终端设备 | |
| 限制文件夹访问 | |
| Server Side Request Forgery (SSRF) | |
| XML 外部实体攻击 (XXE) | |
| 跨站请求伪造 (CSRF) | Cross-Site Request Forgery (修改密码) |
| Cross-Site Request Forgery (Change Secret) | |
| Cross-Site Request Forgery (Transfer Amount) | |
| 使用了存在漏洞的组件 | 缓冲区溢出(本地) |
| 缓冲区溢出(远程) | |
| Drupal SQL 注入 (Drupageddon) | |
| 心脏滴血漏洞 | |
| PHP CGI 远程代码执行 | |
| PHP Eval 函数 | |
| phpMyAdmin BBCode 标签 XSS | |
| 破壳漏洞 (CGI) | |
| SQLiteManager 本地文件包含 | |
| SQLiteManager PHP 代码注入 | |
| SQLiteManager XSS | |
| 其他类型漏洞 | 点击劫持 (Movie Tickets) |
| 客户端验证 (密码) | |
| HTTP参数污染 | |
| HTTP Response Splitting | |
| HTTP Verb Tampering | |
| 信息泄露 – Favicon | |
| 信息泄露 – Headers | |
| 信息泄露 – PHP version | |
| 信息泄露 – Robots 文件 | |
| 不安全的iframe (登录框) | |
| 上传漏洞 | |
| 其他漏洞 | A.I.M. – No-authentication Mode |
| Client Access Policy File | |
| Cross-Domain Policy File | |
| Evil 666 Fuzzing Page | |
| Manual Intervention Required! | |
| 未被保护的管理后台 | |
| We Steal Secrets… (html) | |
| We Steal Secrets… (plain) | |
| WSDL File (Web Services/SOAP) | |
![[考题] 数据安全与个人信息保护试卷 - vulsee.com-微慑信息网-VulSee.com](http://vulsee.com/wp-content/uploads/2021/10/e7644aecb1be3404db233bc2f6e8a284.png)
![微信小程序解密测试[20201223]-微慑信息网-VulSee.com](http://vulsee.com/wp-content/uploads/2020/12/524.png)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
