介绍 此备忘录提供了在Web应用程序的黑盒安全测试期间要执行的检查列表。 目的 此列表旨在用作经验丰富的测试人员的备忘录,并建议与OWASP测试指南一起使用。 清单 信息收集 网站审查 手动探索网站 蜘蛛/抓取错误或隐藏的内容 检查Web服务器文件以查找泄露内容的信息,例如robots.txt,sitemap.xml,.DS_Store 利用搜索引擎发现/侦察检测信息泄露 根据用户不同页面检查内容的差异(例如,移动网站,利益搜索引擎爬虫访问) 检查信息泄漏的网页评论和METADATA数据 目标发展历史 检查Web应…