Web安全测试知识点总结

一、基础知识

1. HTTP/HTTPS协议

   • 请求/响应结构
   • 状态码含义
   • 头部字段安全相关属性
   • Cookie/Session机制

2. Web应用架构

   • 前端技术(HTML/JS/CSS)
   • 后端技术(各种编程语言框架)
   • 数据库交互
   • RESTful API/SOAP

3. 常见Web漏洞分类

   • OWASP Top 10
   • CWE Top 25

二、核心测试内容

1. 注入漏洞

• SQL注入

  • 检测方法
  • 盲注技术
  • 防御措施(参数化查询等)

• 命令注入

• LDAP注入
• XPath注入
• NoSQL注入

2. 跨站脚本(XSS)

• 反射型XSS
• 存储型XSS
• DOM型XSS
• 检测与防御方法

3. 跨站请求伪造(CSRF)

• CSRF原理
• Token防御机制
• 同源策略

4. 认证与会话管理

• 弱密码策略
• 会话固定
• 会话超时
• 多因素认证

5. 安全配置错误

• 默认配置
• 不安全的HTTP方法
• 目录列表
• 错误信息泄露

6. 敏感数据泄露

• 不加密的敏感数据
• 弱加密算法
• 不安全的传输

7. XML外部实体(XXE)

• XXE攻击原理
• 检测方法
• 防御措施

8. 访问控制缺陷

• 水平越权
• 垂直越权
• IDOR(不安全的直接对象引用)

9. 其他漏洞

• SSRF(服务器端请求伪造)
• 文件上传漏洞
• 反序列化漏洞
• 逻辑漏洞

三、测试工具与技术

1. 扫描工具

• Burp Suite
• OWASP ZAP
• Nikto
• Nmap
• SQLmap

2. 手动测试技术

• 模糊测试(Fuzzing)
• 边界值测试
• 业务逻辑测试
• 权限测试

3. 代码审计

• 静态分析(SAST)
• 动态分析(DAST)
• 交互式分析(IAST)

四、防御措施

• WAF(Web应用防火墙)配置
• CSP(内容安全策略)
• HSTS
• CORS策略
• 输入验证与输出编码

五、法律法规与标准

• GDPR
• PCI DSS
• ISO 27001
• OWASP ASVS

六、进阶知识

• 高级持久性威胁(APT)
• 云安全测试
• 微服务安全
• API安全测试
• 移动端Web安全

掌握这些知识点可以帮助你全面地进行Web安全测试工作，发现和修复潜在的安全漏洞。