上海市第六届安全互联网信息服务单位测试范围

类别等级编号子类
1.注入H1.01SQL盲注
1.02SQL错误信息注入
1.03Cookie SQL注入
1.04Xpath注入
1.05LDAP注入
1.06链接注入
1.07框架注入
1.08代码注入
1.09操作系统命令注入
1.10Apache chunk编码注射漏洞
1.11CRLF注入
1.12struts2远程执行命令
2.跨站脚本H2.01跨站脚本
2.02mhtml协议跨站脚本
2.03UTF-7 BOM字符注入跨站
2.04宽字符集跨站脚本
3.失效的认证和会话管理M3.01表单绕过
4.不安全的直接对象引用L4.01Flash文件源代码泄漏
4.02敏感文件
4.03文件备份
4.04压缩文件
4.05PHPINFO
4.06ASP探针文件
4.07PHP探针文件
4.08.NET output-build.txt文件泄漏
4.09.NET conversionreport.txt文件泄漏
4.10WS_FTP.LOG文件泄漏
4.11Ora_errs.log文件泄漏
4.12Apache 错误日志文件泄漏
4.13.NET web.config文件泄漏
4.14连接数据库文件名称泄漏
4.15访问控制文件内容泄漏
4.16microsoft FrontPage Server Extensions 任务列表泄漏
4.17测试文件
4.18常见数据库文件下载
4.19.NET cs文件下载
4.20.NET vb文件下载
4.21.NET 解决方案文件下载
4.22网站管理后台
5.跨站请求伪造L5.01跨站伪造用户请求
6.安全配置错误L6.01Web应用程序错误
6.02网站路径泄漏
6.03数据库错误
6.04源代码泄漏
6.05ASP.NET路径泄漏
6.06目录遍历
6.07任意文件下载
6.08本地包含
6.09目录浏览
6.10IIS Location头信息泄漏
6.11ASP.NET允许文件调试
6.12允许TRACE方法
6.13允许TRACK方法
6.14WebDAV目录可行
6.15WebDAV远程代码执行
6.16WebDAV目录浏览
6.17IIS段文件名泄露
7.不安全的密码储藏L7.01弱密码
7.02Tomcat管理后台弱密码
7.03Jboss JMX Console弱密码
7.04Weblogic管理后台弱密码
8.限制URL访问失败L8.01允许访问任何域的Flash文件
9.传输层保护不足L9.01VIEWSTATE参数未加密
10.尚未认证的重定向和转发L10.01URL重定向