ICS35.240.40CCSL67T/CCUA中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)Applicationsystemsecurity中中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)發(fā)布IT/CCUA053-2025 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5測(cè)試原則 6測(cè)試規(guī)程 附錄A（規(guī)范性） 附錄B（資料性） 參考文獻(xiàn) T/CCUA053-2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起本文件由中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)提出并歸口管理。本文件起草單位：中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)信息科技審計(jì)分會(huì)、中國(guó)農(nóng)業(yè)銀行股份有限公司、新華三技術(shù)有限公司、中國(guó)建設(shè)銀行股份有限公司、華夏銀行股份有限公司、上海浦東發(fā)展銀行股份有限公司、中國(guó)光大銀行股份有限公司、渤海銀行股份有限公司、九江銀行股份有限公司、深圳前海微眾銀行股份有限公司、開(kāi)泰銀行（中國(guó)）有限公司、浙江農(nóng)商聯(lián)合銀行股份有限公司、山東重工集團(tuán)財(cái)務(wù)有限公司、中國(guó)人壽保險(xiǎn)集團(tuán)股份有限公司、北京安全共識(shí)科技有限公司、四維創(chuàng)智（北京）科技發(fā)展有限公司、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司、北京賽博昆侖科技有限公司、上海斗象信息科技有限公司北京神州綠盟科技有限公司、北京奇虎科技有限公司、北京長(zhǎng)亭科技有限公司、遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司、南京審計(jì)大學(xué)、北京信息科技大學(xué)、中治研（北京）國(guó)際信息技術(shù)研究院。本文件主要起草人：李樹(shù)尉、何啟翱、劉述忠、孟磊、王杰、王明月、張之則、張博森、陳昱瑾、李之森、王旭東、周旭東、許川、陳德鋒、蔣斌、袁庶軼、張璐、盧宏旺、鄭長(zhǎng)春、朱佳賓、萬(wàn)丹丹、李城漳、竇春坦、丁偉、陳功昊、方笠、高晉龍、李海龍、賈斌、鄔迪、盧中陽(yáng)、吳競(jìng)宇、司紅星、顏詩(shī)羚、劉新強(qiáng)、鄭文彬、徐鐘豪、范曉玥、邵子揚(yáng)、魏日銳、劉紅濤、李者龍、楊坤、郝龍、何文杰、郭紅建、崔國(guó)璽、戴明、孫衛(wèi)東、楊曉平、魏東。1T/CCUA053-2025金融機(jī)構(gòu)應(yīng)用系統(tǒng)安全測(cè)試規(guī)程本文件規(guī)定了金融行業(yè)應(yīng)用系統(tǒng)安全測(cè)試的原則、流程、測(cè)試項(xiàng)和方法。適用于B/S架構(gòu)的應(yīng)用系統(tǒng)開(kāi)展安全測(cè)試。本文件適用于：a)金融機(jī)構(gòu)及其分支機(jī)構(gòu)通過(guò)自有團(tuán)隊(duì)開(kāi)展應(yīng)用系統(tǒng)安全測(cè)試的管理工作。b)金融機(jī)構(gòu)及其分支機(jī)構(gòu)通過(guò)外部團(tuán)隊(duì)開(kāi)展應(yīng)用系統(tǒng)安全測(cè)試的管理工作。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T15843.1-2008信息技術(shù)安全技術(shù)實(shí)體鑒別第1部分：概述GB/T25069-2020信息安全技術(shù)術(shù)語(yǔ)GB/T29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯GB/T30273-2013信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南GB/T36322-2018信息安全技術(shù)密碼設(shè)備應(yīng)用接口規(guī)范JR/T0171-2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范JR/T0185-2020金融科技創(chuàng)新安全通用規(guī)范3術(shù)語(yǔ)和定義GB/T25069-2022、GB/T30273-2013、GB/T29246-2017界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1應(yīng)用軟件系統(tǒng)applicationsoftwaresystem對(duì)特定業(yè)務(wù)進(jìn)行處理的軟件系統(tǒng)。[來(lái)源：GB/T25069-2022，3.731]3.2應(yīng)用程序接口applicationprogramminginterface通過(guò)預(yù)定義功能訪問(wèn)服務(wù)而不關(guān)注其設(shè)計(jì)與實(shí)現(xiàn)的接口。[來(lái)源：JR/T0185-2020，3.1]2T/CCUA053-20253.3B/S架構(gòu)（Browser/Serverarchitecture）一種軟件體系結(jié)構(gòu)模式，客戶端通過(guò)瀏覽器訪問(wèn)，主要業(yè)務(wù)邏輯在服務(wù)器端運(yùn)行。[來(lái)源：GB/T25069-2020，3.2.14；GB/T5271.15-2010，3.1.5]3.4中間件middleware分布式系統(tǒng)中實(shí)現(xiàn)應(yīng)用程序或組件間通信與數(shù)據(jù)交換的軟件層。[來(lái)源：GB/T30273-2013，2.2]3.5應(yīng)用服務(wù)器applicationserver提供應(yīng)用程序運(yùn)行環(huán)境的中間件。[來(lái)源：GB/T30273-2013，2.3]3.6應(yīng)用系統(tǒng)安全測(cè)試applicationsecuritytesting通過(guò)技術(shù)方法驗(yàn)證應(yīng)用系統(tǒng)及其運(yùn)行環(huán)境安全質(zhì)量的過(guò)程。[來(lái)源：GB/T29246-2017，4.2.1，有修改]3.7安全缺陷securityvulnerability違背信息安全原則導(dǎo)致可能被惡意利用的系統(tǒng)缺陷。[來(lái)源：GB/T30273-2013，2.1.5]3.8泄露disclosure違反安全策略導(dǎo)致數(shù)據(jù)被未授權(quán)使用的行為。[來(lái)源：GB/T25069-2022，3.670]3.9加密encipherment;encryption對(duì)數(shù)據(jù)進(jìn)行密碼變換產(chǎn)生密文的過(guò)程。[來(lái)源：GB/T36322-2018，3.5]3.103T/CCUA053-2025未加密的信息。[來(lái)源：GB/T15843.1-2008，3.19]3.11敏感信息sensitiveinformation泄露后可能造成用戶或機(jī)構(gòu)損失的數(shù)據(jù)。[來(lái)源：JR/T0171-2020，3.2]3.12個(gè)人金融信息personalfinancialinformation金融業(yè)機(jī)構(gòu)在業(yè)務(wù)活動(dòng)中獲取、加工和保存的個(gè)人信息。[來(lái)源：JR/T0171-2020，3.1]3.13字典攻擊dictionaryattack通過(guò)遍歷預(yù)定義密鑰或口令集合猜測(cè)憑證的攻擊方法。[來(lái)源：GB/T25069-2022，3.813]3.14備份文件backupfiles用于數(shù)據(jù)恢復(fù)的文件副本。[來(lái)源：GB/T25069-2022，3.44]3.15命令注入commandinjection未過(guò)濾用戶輸入導(dǎo)致執(zhí)行非預(yù)期系統(tǒng)命令的漏洞。[來(lái)源：GB/T30273-2013，2.6.5]3.16代碼注入codeinjection未嚴(yán)格過(guò)濾輸入導(dǎo)致執(zhí)行非預(yù)期程序代碼的漏洞。[來(lái)源：GB/T30273-2013，2.6.4]3.17目錄遍歷directorytraversal未校驗(yàn)用戶輸入導(dǎo)致訪問(wèn)授權(quán)范圍外文件的漏洞。[來(lái)源：GB/T30273-2013，2.6.8]3.18文件包含fileinclusion4T/CCUA053-2025未過(guò)濾參數(shù)導(dǎo)致執(zhí)行非預(yù)期代碼的文件加載漏洞。[來(lái)源：GB/T30273-2013，2.6.7]3.19暴力破解攻擊bruteforceattack通過(guò)遍歷可能憑證組合獲取信息的攻擊方法。[來(lái)源：GB/T25069-2022，3.94]3.20保密性confidentiality信息不被未授權(quán)訪問(wèn)或泄露的特性。[來(lái)源：GB/T25069-2022，3.41]3.21完整性integrity信息保持準(zhǔn)確和完備的特性。[來(lái)源：GB/T25069-2022，3.612]3.22可用性availability授權(quán)實(shí)體可按規(guī)定需求訪問(wèn)的特性。[來(lái)源：GB/T25069-2022，3.345]4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。API應(yīng)用程序接口（ApplicationProgrammingInterface）CSP內(nèi)容安全策略（ContentSecurityPolicy）CRLF回車換行（CarriageReturn/LineFeed）CSRF跨站請(qǐng)求偽造（Cross-SiteRequestForgery）DoS拒絕服務(wù)（DenialofService）HTML超文本標(biāo)記語(yǔ)言（HyperTextMarkupLanguage）HSTSHTTP嚴(yán)格傳輸安全（HTTPStrictTransportSecurity）HTTP超文本傳輸協(xié)議（HyperTextTransferProtocol）HTTPS超文本傳輸安全協(xié)議（HyperTextTransferProtocolSecure）IIS互聯(lián)網(wǎng)信息服務(wù)（InternetInformationServices）LDAP輕量目錄訪問(wèn)協(xié)議（LightweightDirectoryAccessProtocol）MML人機(jī)交互語(yǔ)言（Man-MachineLanguage）POC概念驗(yàn)證（ProofofConcept）5T/CCUA053-2025SQL結(jié)構(gòu)化查詢語(yǔ)言（StructuredQueryLanguage）SSI服務(wù)器端包含（Server-SideIncludes）SSRF服務(wù)器端請(qǐng)求偽造（Server-SideRequestForgery）SSTI服務(wù)器端模板注入（Server-SideTemplateInjection）URL統(tǒng)一資源定位符（UniformResourceLocator）WSDLWeb服務(wù)描述語(yǔ)言（WebServicesDescriptionLanguage）XFF轉(zhuǎn)發(fā)客戶端地址（X-Forwarded-For）XPathXML路徑語(yǔ)言（XMLPathLanguage）XSS跨站腳本（Cross-SiteScripting）XXEXML外部實(shí)體注入（XMLExternalEntityInjection）5測(cè)試原則5.1全面性測(cè)試范圍應(yīng)覆蓋目標(biāo)應(yīng)用系統(tǒng)的所有功能、場(chǎng)景及測(cè)試項(xiàng)，涵蓋不同角色和用戶權(quán)限下的訪問(wèn)路徑。5.2可控性測(cè)試過(guò)程應(yīng)進(jìn)行全過(guò)程控制，確保人員、工具及活動(dòng)的安全可控。5.3最小影響測(cè)試活動(dòng)應(yīng)對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)運(yùn)行的影響降至最低。如：a)選擇非業(yè)務(wù)高峰時(shí)段；b)制定系統(tǒng)應(yīng)急預(yù)案；c)限制高風(fēng)險(xiǎn)操作范圍。5.4分級(jí)管理應(yīng)對(duì)應(yīng)用系統(tǒng)及發(fā)現(xiàn)的安全缺陷實(shí)施分級(jí)管理，優(yōu)先保障關(guān)鍵系統(tǒng)的資源投入。5.5保密性未經(jīng)授權(quán)，測(cè)試方不應(yīng)泄露任何測(cè)試獲取的信息，包括但不限于：a)系統(tǒng)架構(gòu)與業(yè)務(wù)數(shù)據(jù)；b)安全缺陷詳情；c)相關(guān)人員信息。5.6合規(guī)性測(cè)試活動(dòng)應(yīng)覆蓋應(yīng)用系統(tǒng)全生命周期，并根據(jù)投產(chǎn)階段差異執(zhí)行對(duì)應(yīng)的測(cè)試要求。5.7及時(shí)性測(cè)試方應(yīng)及時(shí)提交發(fā)現(xiàn)的安全缺陷，從檢測(cè)到提交的時(shí)間間隔不應(yīng)超過(guò)規(guī)定時(shí)限。6測(cè)試規(guī)程6.1測(cè)試流程測(cè)試流程分為測(cè)試準(zhǔn)備、測(cè)試實(shí)施兩個(gè)階段（見(jiàn)圖1），各階段工作應(yīng)符合以下要求：a)測(cè)試準(zhǔn)備階段由測(cè)試發(fā)起方提供基礎(chǔ)材料，測(cè)試執(zhí)行方編制測(cè)試方案；b)測(cè)試實(shí)施階段執(zhí)行附錄A規(guī)定的測(cè)試項(xiàng)，操作指引詳見(jiàn)附錄B；c)測(cè)試復(fù)測(cè)階段驗(yàn)證安全缺陷修復(fù)有效性。6T/CCUA053-20256.1.1測(cè)試準(zhǔn)備階段測(cè)試發(fā)起方應(yīng)提供：a)資產(chǎn)清單（含URL列表）；b)多角色測(cè)試賬戶；c)測(cè)試范圍說(shuō)明（含裁剪需求）。測(cè)試執(zhí)行方應(yīng)根據(jù)上述材料編制測(cè)試方案，明確：a)測(cè)試項(xiàng)（按附錄A選?。?；b)測(cè)試用例（按附錄B開(kāi)展）；c)風(fēng)險(xiǎn)控制措施。6.1.2測(cè)試實(shí)施階段測(cè)試執(zhí)行方應(yīng)：a)依據(jù)測(cè)試方案執(zhí)行測(cè)試；b)記錄測(cè)試過(guò)程及結(jié)果；c)輸出安全缺陷報(bào)告。d)驗(yàn)證已修復(fù)安全缺陷；e)回歸測(cè)試關(guān)聯(lián)功能；f)復(fù)測(cè)并確認(rèn)所有缺陷閉環(huán)。圖1測(cè)試流程圖6.2測(cè)試項(xiàng)根據(jù)應(yīng)用系統(tǒng)安全測(cè)試原則和規(guī)程，安全測(cè)試項(xiàng)可分為11類：應(yīng)用資產(chǎn)收集（C1）、Web容器及應(yīng)用服務(wù)測(cè)試（C2）、Web應(yīng)用組件測(cè)試（C3）、配置及部署管理測(cè)試（C4）、會(huì)話管理測(cè)試（C5）、7T/CCUA053-2025訪問(wèn)授權(quán)測(cè)試（C6）、身份鑒別與認(rèn)證測(cè)試（C7）、輸入有效性驗(yàn)證測(cè)試（C8）、加解密測(cè)試（C9）、基礎(chǔ)場(chǎng)景業(yè)務(wù)邏輯測(cè)試（C10）、金融場(chǎng)景業(yè)務(wù)邏輯測(cè)試（C11）。6.2.1應(yīng)用資產(chǎn)收集應(yīng)用資產(chǎn)收集包括4個(gè)測(cè)試項(xiàng)，WEB應(yīng)用資產(chǎn)收集（T1）、APP應(yīng)用資產(chǎn)收集（T2）、應(yīng)用指紋收集（T3）、端口及服務(wù)枚舉收集（T4）。a）WEB應(yīng)用資產(chǎn)收集是通過(guò)使用網(wǎng)站爬蟲(chóng)獲取WEB應(yīng)用資產(chǎn)清單，作為測(cè)試準(zhǔn)備階段輸出URL清單。b）APP應(yīng)用資產(chǎn)收集是通過(guò)設(shè)置代理、抓包、逆向分析和遍歷點(diǎn)擊等獲取資產(chǎn)清單，作為測(cè)試準(zhǔn)備階段輸出URL清單。c）應(yīng)用指紋收集是通過(guò)URL爬取、特征比對(duì)、目錄掃描測(cè)試等確6.2.2Web容器及應(yīng)用服務(wù)測(cè)試Web容器及應(yīng)用服務(wù)測(cè)試包括Web容器常見(jiàn)漏洞測(cè)試、應(yīng)用服務(wù)未授權(quán)訪問(wèn)漏洞測(cè)試、容器控制臺(tái)默認(rèn)口令測(cè)試、容器敏感信息泄露測(cè)試。Web容器常見(jiàn)漏洞測(cè)試根據(jù)基于資產(chǎn)收集階段識(shí)別的容器信息，Web容器安全缺陷測(cè)試包括8個(gè)測(cè)試項(xiàng)：IIS容器常見(jiàn)漏洞測(cè)試（T5）、Apache容器常見(jiàn)漏洞測(cè)試（T6）、Nginx容器常見(jiàn)漏洞測(cè)試（T7）、Weblogic容器常見(jiàn)漏洞測(cè)試（T8）、Tomcat容器常見(jiàn)漏洞測(cè)試（T9）、Jboss容器常見(jiàn)漏洞測(cè)試（T10）、Websphere容器常見(jiàn)漏洞測(cè)試（T11）、Axis容器常見(jiàn)漏洞測(cè)試（T12）。應(yīng)用服務(wù)未授權(quán)訪問(wèn)漏洞測(cè)試未授權(quán)訪問(wèn)測(cè)試（T17）、Memcache未授權(quán)訪問(wèn)測(cè)試（T18）、Zookeeper未授權(quán)訪問(wèn)測(cè)試（T19）。容器控制臺(tái)默認(rèn)口令測(cè)試容器控制臺(tái)默認(rèn)口令測(cè)試（T20）是對(duì)web容器控制臺(tái)進(jìn)行默認(rèn)口令測(cè)試，以發(fā)現(xiàn)不安全的賬戶信容器敏感信息泄露測(cè)試容器敏感信息泄露測(cè)試（T21)）是對(duì)web容器發(fā)起正?；蚍欠ㄕ?qǐng)求，查看是否有敏感信息返回。6.2.3Web應(yīng)用組件測(cè)試Web應(yīng)用組件測(cè)試是驗(yàn)證組件框架安全缺陷，包括7項(xiàng)：shiro常見(jiàn)漏洞測(cè)試（T22）、struts2常見(jiàn)漏洞測(cè)試（T23）fastjson常見(jiàn)漏洞測(cè)試（T24）、spring常見(jiàn)漏洞測(cè)試（T25）、Log4j常見(jiàn)漏洞測(cè)試（T26）、jenkins常見(jiàn)漏洞測(cè)試（T27）、elasticsearch常見(jiàn)漏洞測(cè)試（T28）。6.2.4配置以及部署管理測(cè)試配置以及部署管理測(cè)試是檢測(cè)配置不當(dāng)導(dǎo)致的安全缺陷，包括9項(xiàng)：備份文件和未引用文件信息泄露測(cè)試（T29）、WEB應(yīng)用敏感信息發(fā)現(xiàn)測(cè)試（T30）、功能目錄和管理界面枚舉測(cè)試（T31）、目錄列出8T/CCUA053-2025測(cè)試（T32）、Cookie敏感信息泄露測(cè)試（T33）、HTTP不安全方法測(cè)試（T34）、跨域策略測(cè)試（T35）、配置管理賬戶弱口令測(cè)試（T36）、jwt常見(jiàn)漏洞測(cè)試（T37）。6.2.5會(huì)話管理測(cè)試會(huì)話管理測(cè)試類包括3個(gè)測(cè)試項(xiàng)：Cookie屬性測(cè)試（T38）、會(huì)話固定測(cè)試(T39)、跨站請(qǐng)求偽造測(cè)試(T40)b）會(huì)話固定測(cè)試是通過(guò)對(duì)登陸前后的會(huì)話標(biāo)識(shí)進(jìn)行對(duì)比，測(cè)試登陸成功后會(huì)c)跨站請(qǐng)求偽造測(cè)試是通過(guò)盜用其他用戶身份，檢查是否能以其他賬戶的名6.2.6訪問(wèn)授權(quán)測(cè)試訪問(wèn)授權(quán)測(cè)試類包括1個(gè)測(cè)試項(xiàng)：未授權(quán)訪問(wèn)測(cè)試（T41）。注：未授權(quán)訪問(wèn)測(cè)試是通過(guò)對(duì)需認(rèn)證后訪問(wèn)的各個(gè)功能點(diǎn)進(jìn)行匿名訪問(wèn)，發(fā)現(xiàn)無(wú)需認(rèn)證6.2.7身份鑒別與認(rèn)證測(cè)試身份鑒別與認(rèn)證測(cè)試是檢測(cè)認(rèn)證機(jī)制的缺陷，包括3個(gè)測(cè)試項(xiàng)：賬戶枚舉測(cè)試（T42）、默認(rèn)口令與弱口令測(cè)試（T43）、憑證暴力破解測(cè)試（T44）。6.2.8輸入有效性驗(yàn)證測(cè)試輸入有效性驗(yàn)證測(cè)試是驗(yàn)證輸入過(guò)濾機(jī)制的缺陷，包括21個(gè)測(cè)試項(xiàng)：通用型跨站腳本攻擊測(cè)試（T45PDF文件類xss腳本攻擊測(cè)試（T46）、SQL注入測(cè)試（T47）、LDAP注入測(cè)試（T48）、XML外部實(shí)體注入測(cè)試（T49）、SSI注入測(cè)試（T50）、SSTI模板注入測(cè)試（T51）、XPath注入測(cè)試（T52）、IMAPSMTP注入測(cè)試（T53）、代碼注入測(cè)試（T54）、命令注入測(cè)試（T55）、HTTP分割/偽造測(cè)試（T56）、主機(jī)頭注入測(cè)試（T57）、服務(wù)器端請(qǐng)求偽造測(cè)試（T58）、任意地址重定向測(cè)試（T59）、通用型文件上傳測(cè)試（T60）、文件上傳解析測(cè)試（T61）、非預(yù)期的文件下載測(cè)試（T62）、文件包含測(cè)試（T63）、MML注入測(cè)試（T64）、應(yīng)用類拒絕服務(wù)攻擊測(cè)試（T65）。6.2.9加解密測(cè)試加解密測(cè)試類包括2個(gè)測(cè)試項(xiàng)：傳輸層安全性測(cè)試（T66）、敏感信息脫敏測(cè)試（T67）。a）傳輸層安全性測(cè)試是通過(guò)訪問(wèn)業(yè)務(wù)系統(tǒng)b）敏感信息脫敏測(cè)試是通過(guò)抓包工具對(duì)WEB應(yīng)用頁(yè)面的請(qǐng)求進(jìn)行抓包，6.2.10基礎(chǔ)場(chǎng)景業(yè)務(wù)邏輯測(cè)試執(zhí)行基礎(chǔ)場(chǎng)景業(yè)務(wù)邏輯測(cè)試時(shí)應(yīng)同步執(zhí)行相關(guān)安全測(cè)試項(xiàng)（會(huì)話管理、輸入驗(yàn)證等覆蓋關(guān)聯(lián)業(yè)務(wù)場(chǎng)景所有測(cè)試項(xiàng)，對(duì)弱加密字段解密后測(cè)試，并考慮多字段組合場(chǎng)景。包括認(rèn)證要素類場(chǎng)景測(cè)試、登錄類場(chǎng)景測(cè)試、賬戶管理類場(chǎng)景測(cè)試、密碼管理類場(chǎng)景測(cè)試、信息查詢及維護(hù)類場(chǎng)景測(cè)試。認(rèn)證要素類場(chǎng)景測(cè)試9T/CCUA053-2025圖形驗(yàn)證碼場(chǎng)景（T70）生物特征識(shí)別場(chǎng)景（T71）、K寶K令場(chǎng)景（T72）、滑動(dòng)驗(yàn)證場(chǎng)景（T73）。登錄類場(chǎng)景測(cè)試登錄類場(chǎng)景測(cè)試是通過(guò)抓包工具對(duì)登錄類場(chǎng)景的接口內(nèi)容及工作流程進(jìn)行分析，逐條實(shí)施案例驗(yàn)證是否存在業(yè)務(wù)邏輯漏洞。包括2個(gè)測(cè)試項(xiàng)：登錄場(chǎng)景業(yè)務(wù)邏輯（T74）、登出場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T75）。賬戶管理類場(chǎng)景測(cè)試賬戶管理類場(chǎng)景測(cè)試是驗(yàn)證賬戶管理缺陷，包括4個(gè)測(cè)試項(xiàng)：注冊(cè)場(chǎng)景（T76）、注銷場(chǎng)景（T77）、權(quán)限變更場(chǎng)景（T78）、賬戶狀態(tài)變更場(chǎng)景（T79）。密碼管理類場(chǎng)景測(cè)試密碼管理類場(chǎng)景測(cè)試是驗(yàn)證密碼管理缺陷，包括2個(gè)測(cè)試項(xiàng)：密碼修改場(chǎng)景（T80）、密碼找回場(chǎng)景（T81）。信息查詢及維護(hù)類場(chǎng)景測(cè)試信息查詢及維護(hù)類場(chǎng)景測(cè)試是驗(yàn)證信息管理缺陷，包括4個(gè)測(cè)試項(xiàng)：信息查詢場(chǎng)景（T82）、信息修改場(chǎng)景（T83）、信息導(dǎo)出場(chǎng)景（T84）、信息刪除場(chǎng)景（T85）。6.2.11金融場(chǎng)景業(yè)務(wù)邏輯測(cè)試金融場(chǎng)景業(yè)務(wù)邏輯測(cè)試包括金融交易類場(chǎng)景業(yè)務(wù)邏輯測(cè)試、金融交易關(guān)聯(lián)類場(chǎng)景業(yè)務(wù)邏輯測(cè)試。金融交易類場(chǎng)景業(yè)務(wù)邏輯測(cè)試金融交易類場(chǎng)景業(yè)務(wù)邏輯測(cè)試是驗(yàn)證金融交易缺陷，包括10個(gè)測(cè)試項(xiàng)：支付場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T轉(zhuǎn)賬場(chǎng)景（T87）業(yè)務(wù)邏輯測(cè)試、貸款場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T88）、充值繳費(fèi)場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T89）、非金融產(chǎn)品購(gòu)買場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T90）、非金融訂單取消場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T91）、非金融產(chǎn)品退貨/退款場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T92）、金融產(chǎn)品購(gòu)買場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T93）、金融產(chǎn)品贖回場(chǎng)景業(yè)務(wù)邏輯測(cè)（T94）、金融產(chǎn)品訂單取消場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T95）。金融交易關(guān)聯(lián)類場(chǎng)景業(yè)務(wù)邏輯測(cè)試金融交易關(guān)聯(lián)類場(chǎng)景業(yè)務(wù)邏輯測(cè)試是驗(yàn)證關(guān)聯(lián)業(yè)務(wù)缺陷，包括7個(gè)測(cè)試項(xiàng)：業(yè)務(wù)開(kāi)立場(chǎng)景（T96）、業(yè)務(wù)變更場(chǎng)景（T97）、業(yè)務(wù)解約場(chǎng)景（T98）、審批審核場(chǎng)景（T99）、優(yōu)惠活動(dòng)/券/積分獲取場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T100）、優(yōu)惠活動(dòng)/券/積分使用場(chǎng)景業(yè)務(wù)邏輯測(cè)試（T101）。6.3測(cè)試方法具體測(cè)試方法見(jiàn)附錄。其中附錄A規(guī)定了測(cè)試項(xiàng)的分類、編碼及其與業(yè)務(wù)場(chǎng)景、測(cè)試工具、用例編號(hào)的對(duì)應(yīng)關(guān)系，是測(cè)試實(shí)施、覆蓋性確認(rèn)的依據(jù)。測(cè)試執(zhí)行時(shí)，應(yīng)依據(jù)測(cè)試方案，從附錄A選擇或裁剪相應(yīng)測(cè)試項(xiàng)，結(jié)合系統(tǒng)特性與風(fēng)險(xiǎn)等級(jí)確定測(cè)試內(nèi)容；并按附錄A中的測(cè)試標(biāo)簽與工具指引開(kāi)展驗(yàn)證，規(guī)范記錄輸入、步驟、預(yù)期與結(jié)果，確?？勺匪菖c復(fù)測(cè)閉環(huán)。附錄B為與附錄A編號(hào)一一對(duì)應(yīng)的具體測(cè)試用例，包含前置條件、操作步驟、檢驗(yàn)方法與判定準(zhǔn)則，供測(cè)試實(shí)施與結(jié)果復(fù)核時(shí)調(diào)用。T/CCUA053-2025測(cè)試項(xiàng)清單測(cè)試項(xiàng)清單規(guī)定了應(yīng)用系統(tǒng)安全測(cè)試的測(cè)試項(xiàng)分類及編碼規(guī)則，適用于第6章測(cè)試內(nèi)容的執(zhí)行。應(yīng)符合表A.1規(guī)定。別例1集WEB應(yīng)用安全12WEB應(yīng)用安全23WEB應(yīng)用安全4集WEB應(yīng)用安全5試162T/CCUA053-2025表A.1（續(xù)）738洞檢測(cè)利用程序49序56oit.jar等各類序78123試456T/CCUA053-2025表A.1（續(xù)）7器試試試WEB應(yīng)用安全T/CCUA053-2025表A.1（續(xù)）WEB應(yīng)用安全WEB應(yīng)用安全WEB應(yīng)用安全等目錄掃描工具WEB應(yīng)用安全WEB應(yīng)用安全WEB應(yīng)用安全Web應(yīng)用安全Web應(yīng)用安全試Web應(yīng)用安全Web應(yīng)用安全Web應(yīng)用安全T/CCUA053-2025表A.1（續(xù)）試Web應(yīng)用安全試Web應(yīng)用安全Web應(yīng)用安全試WEB應(yīng)用安全1WEB應(yīng)用安全2WEB應(yīng)用安全WEB應(yīng)用安全WEB應(yīng)用安全WEB應(yīng)用安全WEB應(yīng)用安全T/CCUA053-2025表A.1（續(xù)）WEB應(yīng)用安全試WEB應(yīng)用安全WEB應(yīng)用安全WEB應(yīng)用安全試WEB應(yīng)用安全等WEB應(yīng)用安全WEB應(yīng)用安全試Web應(yīng)用安全試Web應(yīng)用安全Web應(yīng)用安全Web應(yīng)用安全Web應(yīng)用安全T/CCUA053-2025表A.1（續(xù)）示屏幕(電信設(shè)機(jī)交互設(shè)備等)WEB應(yīng)用安全試試試試試景試試試試試試試試T/CCUA053-2025表A.1（續(xù)）試試試信息查詢等）試試試試試試試試試試試T/CCUA053-2025表A.1（完）試試消試試試試試試試試T/CCUA053-2025B.1.URL清單收集B.1.1應(yīng)用資產(chǎn)收集B.1.1.1WEB應(yīng)用資產(chǎn)收集B.測(cè)試用例一測(cè)試步驟：a)打開(kāi)Yakit，進(jìn)行主動(dòng)資產(chǎn)收集。b)查看Yakit->首頁(yè)->基礎(chǔ)爬蟲(chóng)。c)輸入需要爬取的網(wǎng)站，爬取該網(wǎng)站目錄。圖1Web應(yīng)用主動(dòng)資產(chǎn)收集—Yakit爬取網(wǎng)站目錄圖B.測(cè)試用例二a)打開(kāi)Yakit，進(jìn)行被動(dòng)資產(chǎn)收集。b)手動(dòng)點(diǎn)擊完全部功能點(diǎn)后查看Yakit->target（目標(biāo)）,右側(cè)有所有訪問(wèn)記錄，導(dǎo)出記錄。T/CCUA053-2025圖2Web應(yīng)用被動(dòng)資產(chǎn)收集——Yakit查看訪問(wèn)記錄圖B.測(cè)試用例三T/CCUA053-2025圖3Web應(yīng)用資產(chǎn)收集—YakitWebSocket接口收集圖B.測(cè)試用例四通過(guò)點(diǎn)擊對(duì)應(yīng)鏈接中的詳情信息查看http響應(yīng)請(qǐng)求。T/CCUA053-2025圖4Web應(yīng)用主動(dòng)資產(chǎn)收集—Yakit查看http請(qǐng)求響應(yīng)詳情圖通過(guò)右鍵發(fā)送到fuzzer進(jìn)行測(cè)試。T/CCUA053-2025圖5Web應(yīng)用主動(dòng)資產(chǎn)收集—Yakit發(fā)送fuzzer測(cè)試圖B.測(cè)試用例五a)打開(kāi)yakit，進(jìn)行被動(dòng)資產(chǎn)收集。b)手動(dòng)點(diǎn)擊完全部功能點(diǎn)后查看yakit->histroy->網(wǎng)站樹(shù)結(jié)構(gòu)查看訪問(wèn)的所有url，以及通過(guò)history搜索功能進(jìn)行過(guò)濾。T/CCUA053-2025圖6Web應(yīng)用被動(dòng)資產(chǎn)收集—Yakit網(wǎng)站樹(shù)圖T/CCUA053-2025圖7Web應(yīng)用被動(dòng)資產(chǎn)收集—YakitHttphistory搜索過(guò)濾圖測(cè)試輸出：網(wǎng)站URL、所有動(dòng)態(tài)接口。B.1.1.2APP應(yīng)用資產(chǎn)收集B.測(cè)試用例一a)打開(kāi)Yakit，進(jìn)行被動(dòng)資產(chǎn)收集。b)手動(dòng)點(diǎn)擊完全部功能點(diǎn)后查看Yakit->history（目標(biāo)）,右側(cè)有所有訪問(wèn)記錄，導(dǎo)出記錄。T/CCUA053-2025圖8APP應(yīng)用被動(dòng)資產(chǎn)收集—Yakit查看訪問(wèn)記錄圖測(cè)試輸出：網(wǎng)站URL、所有動(dòng)態(tài)接口。B.測(cè)試用例二a)打開(kāi)yakit，進(jìn)行被動(dòng)資產(chǎn)收集。b)手動(dòng)點(diǎn)擊完全部功能點(diǎn)后查看yakit->手工滲透測(cè)試->MITM->網(wǎng)站樹(shù)結(jié)構(gòu)查看訪問(wèn)的所有url，以及通過(guò)history搜索功能進(jìn)行過(guò)濾。T/CCUA053-2025圖9APP應(yīng)用被動(dòng)資產(chǎn)收集—Yakit網(wǎng)站樹(shù)圖T/CCUA053-2025圖10APP應(yīng)用被動(dòng)資產(chǎn)收集—YakitHttphistory搜索過(guò)濾圖測(cè)試輸出：網(wǎng)站URL、所有動(dòng)態(tài)接口。B.測(cè)試用例三打開(kāi)Yakit，通過(guò)Yakit的history后，使用高級(jí)篩選，選擇websocket，為后面的API服務(wù)測(cè)試中的WebSocket接口測(cè)試收集信息。T/CCUA053-2025圖11APP應(yīng)用資產(chǎn)收集—YakitWebSocket接口收集圖B.1.2應(yīng)用指紋收集B.1.2.1測(cè)試用例一通過(guò)主動(dòng)探測(cè)插件來(lái)開(kāi)啟掃描。T/CCUA053-2025圖12Yakit主動(dòng)指紋探測(cè)圖B.1.2.2測(cè)試用例二通過(guò)Wappalyzer進(jìn)行指紋識(shí)別。T/CCUA053-2025圖13Wappalyzer指紋收集圖B.1.2.3測(cè)試用例三通過(guò)Eholefinger-u進(jìn)行指紋識(shí)別。圖14EholeFinger指紋收集圖B.1.2.4測(cè)試用例四T/CCUA053-2025通過(guò)Finger-u進(jìn)行指紋識(shí)別。圖15Finger指紋收集圖B.1.2.5測(cè)試用例五通過(guò)yakit->滲透測(cè)試->mitm點(diǎn)亮被動(dòng)指紋檢測(cè)，使用yakit被動(dòng)插件進(jìn)行識(shí)別。圖16Yakit被動(dòng)插件指紋收集圖測(cè)試輸出：以上工具輸出應(yīng)注意以下信息（各工具輸出格式存在不同，以實(shí)際輸出為準(zhǔn)）：l站點(diǎn)信息（含URL、IP，主要用于區(qū)分不同站點(diǎn)）；T/CCUA053-2025lCMS指紋信息（如通達(dá)、用友等）；lweb服務(wù)器banner信息（如apache版本、tomcat版本等）；lweb框架信息（如spring-boot版本信息等）；l站點(diǎn)編程語(yǔ)言（如PHP，JAVA等）。B.1.3端口及服務(wù)枚舉收集B.1.3.1測(cè)試用例一通過(guò)nmap-vv-sS-sV-A-p-進(jìn)行掃描(使用Nmap多種協(xié)議進(jìn)行掃描，防止WAF攔截)。圖17Nmap端口掃描圖測(cè)試輸出：返回目標(biāo)主機(jī)開(kāi)放端口及對(duì)應(yīng)服務(wù)，如8080對(duì)應(yīng)HTTP，445對(duì)應(yīng)SMB。B.1.3.2測(cè)試用例二通過(guò)goby進(jìn)行目標(biāo)端口服務(wù)掃描，直接使用目標(biāo)IP建立掃描任務(wù)。T/CCUA053-2025圖18goby端口掃描圖測(cè)試輸出：返回目標(biāo)主機(jī)開(kāi)放端口及對(duì)應(yīng)服務(wù)，如8080對(duì)應(yīng)HTTP，445對(duì)應(yīng)SMB。B.1.3.3測(cè)試用例三domain=進(jìn)行查詢（此方法只適用于外網(wǎng)資產(chǎn)）。圖19fofa端口掃描圖測(cè)試輸出：返回目標(biāo)主機(jī)開(kāi)放端口及對(duì)應(yīng)服務(wù)，如8080對(duì)應(yīng)HTTP，445對(duì)應(yīng)SMB。B.1.3.4測(cè)試用例四使用yakit->安全工具->掃描端口/指紋進(jìn)行掃描。T/CCUA053-2025圖20yakit端口/指紋掃描圖測(cè)試輸出：返回目標(biāo)主機(jī)開(kāi)放端口及對(duì)應(yīng)服務(wù)，如8080對(duì)應(yīng)HTTP，445對(duì)應(yīng)SMB。B.2.Web容器及應(yīng)用服務(wù)測(cè)試B.2.1Web容器常見(jiàn)漏洞測(cè)試B.2.1.1IIS容器常見(jiàn)漏洞測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到IIS容器時(shí)，針對(duì)IIS進(jìn)行安全性測(cè)試，包括但不限于IIS短文件名漏洞、http.sys遠(yuǎn)程代碼執(zhí)行漏洞等常見(jiàn)的IIS容器漏洞。B.測(cè)試用例一使用iis_shortname_scanner.jar工具使用命令java-jariis_shortname_scanner.jar對(duì)目標(biāo)進(jìn)行測(cè)試。測(cè)試預(yù)期：觀察返回信息，如果顯示filesfound，則存在漏洞。T/CCUA053-2025圖21IIS短文件名漏洞測(cè)試圖B.測(cè)試用例二在HTTP請(qǐng)求頭中增加“Range：bytes=0-18446744073709551615”構(gòu)造惡意請(qǐng)求包進(jìn)行發(fā)包?；蛘甙l(fā)送curlhttp://ip-H"Host:32"-H"Range:bytes=0-18446744073709551615"即可。圖22IISHTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞測(cè)試圖測(cè)試預(yù)期：若響應(yīng)碼為416，響應(yīng)內(nèi)容為“RequestedRangeNotSatisfieable”，則漏洞存在。B.測(cè)試用例三使用yakit->專項(xiàng)漏洞檢測(cè)->iis輸入url并開(kāi)始檢測(cè)。圖23Yakitiis漏洞批量檢測(cè)入口圖T/CCUA053-2025測(cè)試預(yù)期：在執(zhí)行完畢之后出現(xiàn)紅色HIT字樣則有對(duì)應(yīng)標(biāo)簽漏洞存在，或者執(zhí)行結(jié)束/End。B.2.1.2Apache容器常見(jiàn)漏洞測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到Apache容器時(shí)對(duì)網(wǎng)站的根路徑進(jìn)行測(cè)試，包括Apache容器所曝出的已知可利用漏洞。B.測(cè)試用例一ApacheHTTPServer2.4.49、2.4.50版本存在CVE-2021-41773目錄穿越與命令執(zhí)行漏洞，可參考如下命令測(cè)試：1)先用工具進(jìn)行掃描，再使用curl驗(yàn)證。圖24Apache容器漏洞測(cè)試—網(wǎng)站根路徑掃描圖2)可以看到目標(biāo)地址的/cgi-bin/目錄可以直接訪問(wèn)，使用curl命令測(cè)試訪問(wèn)：curl-shttp://yourip/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/etc/passwd#讀取Linux服務(wù)器的/etc/passwd（注意其中的/cgi-bin/可以是其他的目錄，但必須是一個(gè)存在且可訪問(wèn)的目錄）。T/CCUA053-2025圖25Apache容器漏洞測(cè)試—curl命令訪問(wèn)驗(yàn)證測(cè)試圖（a）也可以是http://your-ip/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。圖26Apache容器漏洞測(cè)試—curl命令訪問(wèn)驗(yàn)證測(cè)試圖（b）測(cè)試預(yù)期：命令成功執(zhí)行，返回賬戶密碼信息，則存在漏洞。B.2.1.3Nginx容器常見(jiàn)漏洞測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到Nginx容器時(shí)對(duì)網(wǎng)站的根路徑進(jìn)行測(cè)試，包括Nginx容器所曝出的已知可利用漏洞。B.測(cè)試用例一使用如下命令python3nginx-CVE-2017-7529.pyhttp://<ip>:<port>/進(jìn)行檢測(cè)。圖27ngnix容器CVE-2017-7529漏洞測(cè)試圖測(cè)試預(yù)期：如上圖所示，在HTTP返回頭之前存在緩存文件頭，證明Nginx漏洞存在。B.測(cè)試用例二T/CCUA053-2025假設(shè)Nginx網(wǎng)址為http://<ip>:<port>/，抓包，修改數(shù)據(jù)包為http://<ip>:<port>/%0a%0dSet-Cookie:%20a=1通過(guò)CRLF頭部注入漏洞，注入Set-Cookie頭。圖28ngnix容器CLRF頭部注入漏洞測(cè)試圖測(cè)試預(yù)期：如上圖所示，如果在返回頭中存在Set-Cookie：a=1，則證明Nginx漏洞存在。B.測(cè)試用例三使用yakit->插件->批量執(zhí)行->點(diǎn)擊搜索輸入Nginx并選中對(duì)應(yīng)的Nginx漏洞，輸入url并開(kāi)始檢測(cè)。T/CCUA053-2025圖29ngnix容器漏洞批量測(cè)試入口圖測(cè)試預(yù)期：如顯示執(zhí)行完畢的時(shí)間，如果出現(xiàn)HIT字樣說(shuō)明存在對(duì)應(yīng)的漏洞。B.2.1.4Weblogic容器常見(jiàn)漏洞測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到Weblogic容器時(shí)對(duì)網(wǎng)站的根路徑進(jìn)行測(cè)試，包括Weblogic容器所曝出的已知可利用漏洞。B.測(cè)試用例一使用weblogic漏洞利用工具進(jìn)行漏洞檢測(cè)，輸入目標(biāo)URL進(jìn)行檢查。測(cè)試預(yù)期：返回信息root，則證明存在對(duì)應(yīng)漏洞。T/CCUA053-2025圖30Weblogic容器漏洞利用工具測(cè)試圖B.測(cè)試用例二WebLogicSSRF漏洞測(cè)試，訪問(wèn)URLhttp://<ip>/uddiexplorer/SearchPublicRegistries.jsp。圖31Weblogic容器SSRF漏洞測(cè)試圖測(cè)試預(yù)期：無(wú)需認(rèn)證即可進(jìn)入頁(yè)面，則證明漏洞存在。B.測(cè)試用例三使用yakit->專項(xiàng)漏洞檢測(cè)->weblogic輸入url并開(kāi)始檢測(cè)。圖32Weblogic容器漏洞批量測(cè)試入口圖測(cè)試預(yù)期：在執(zhí)行完畢后出現(xiàn)紅色HIT字樣則有對(duì)應(yīng)標(biāo)簽漏洞存在。B.2.1.5Tomcat容器常見(jiàn)漏洞測(cè)試T/CCUA053-2025B.測(cè)試前置當(dāng)信息收集匹配到Tomcat容器時(shí)對(duì)網(wǎng)站的根路徑進(jìn)行測(cè)試，包括Tomcat容器所曝出的已知可利用漏洞。B.測(cè)試用例一對(duì)服務(wù)器端口進(jìn)行探測(cè)：nmap-sV-Pn-T4x.x.x.x-p8009，如發(fā)現(xiàn)8009端口開(kāi)放，則說(shuō)明可能存在AJP漏洞：圖33Tomcat容器漏洞測(cè)試—危險(xiǎn)端口探測(cè)圖測(cè)試預(yù)期：8009端口開(kāi)放，使用下圖所示Tomcat容器漏洞檢測(cè)利用程序（CNVD-2020-10487-Tomcat-Ajp-lfi）進(jìn)行漏洞利用，成功讀取服務(wù)器文件，說(shuō)明漏洞存在。圖34Tomcat容器漏洞測(cè)試?yán)脠DT/CCUA053-2025B.2.1.6Jboss容器常見(jiàn)漏洞測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到Jboss容器時(shí)對(duì)網(wǎng)站的根路徑進(jìn)行測(cè)試，包括Jboss容器所曝出的已知可利用漏洞。B.測(cè)試用例一使用CVE-2017-12149jboss反序列化測(cè)試工具，輸入目標(biāo)URL，輸入待執(zhí)行命令。測(cè)試預(yù)期：若返回預(yù)期的命令執(zhí)行結(jié)果信息，則證明存在漏洞。圖35Jboss容器反序列化漏洞測(cè)試圖B.測(cè)試用例二測(cè)試JBossJMXInvokerServlet反序列化漏洞，使用java反序列化測(cè)試工具，輸入目標(biāo)URL，輸入待執(zhí)行命令。測(cè)試預(yù)期：若返回預(yù)期的命令執(zhí)行結(jié)果信息，則證明存在漏洞。T/CCUA053-2025圖36JbossJMXInvokerServlet反序列化漏洞測(cè)試圖B.測(cè)試用例三訪問(wèn)url如http://www.XXX.com:8080，進(jìn)入jboss控制臺(tái)界面，點(diǎn)擊紅色框選，如下圖：圖37Jboss控制臺(tái)界面圖測(cè)試預(yù)期：無(wú)需認(rèn)證可直接進(jìn)入jboss應(yīng)用部署界面，證明存在jboss未授權(quán)訪問(wèn)漏洞。T/CCUA053-2025圖38Jboss未授權(quán)訪問(wèn)漏洞圖B.測(cè)試用例四在使用Jboss服務(wù)器的系統(tǒng)上，瀏覽器地址欄中訪問(wèn)http://www.XXX.com/status?full=true。T/CCUA053-2025圖39Jboss服務(wù)器狀態(tài)信息泄漏漏洞圖測(cè)試預(yù)期：觀察返回結(jié)果，查看是否包括服務(wù)器的狀態(tài)信息，若存在服務(wù)器狀態(tài)信息，則存在漏洞。B.測(cè)試用例五使用yakit->專項(xiàng)漏洞檢測(cè)->jboss輸入url并開(kāi)始檢測(cè)。T/CCUA053-2025圖40Jboss容器漏洞批量測(cè)試入口圖測(cè)試預(yù)期：在執(zhí)行完畢之后出現(xiàn)紅色HIT字樣則有對(duì)應(yīng)標(biāo)簽漏洞存在，等全部都顯示執(zhí)行結(jié)束/EndB.2.1.7Websphere容器常見(jiàn)漏洞測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到Websphere容器時(shí)對(duì)網(wǎng)站的根路徑進(jìn)行測(cè)試，包括Websphere容器所曝出的已知可利用漏洞。B.測(cè)試用例一打開(kāi)工具DeserializeExploit.jar，輸入目標(biāo)url，輸入待執(zhí)行命令。測(cè)試預(yù)期：若返回預(yù)期的命令執(zhí)行結(jié)果信息，則證明存在漏洞。圖41Websphere容器漏洞利用工具測(cè)試圖B.測(cè)試用例二使用yakit->插件->批量執(zhí)行->點(diǎn)擊搜索輸入Websphere漏洞，輸入url并開(kāi)始檢測(cè)。T/CCUA053-2025圖42Websphere容器漏洞批量測(cè)試入口圖B.2.1.8Axis容器常見(jiàn)漏洞測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到Axis容器時(shí)對(duì)網(wǎng)站的根路徑進(jìn)行測(cè)試，包括Axis容器所曝出的已知可利用漏洞。B.測(cè)試用例一使用dirsearch掃描web目錄：python3dirsearch.py-u。測(cè)試預(yù)期：發(fā)現(xiàn)axis2之下的happyaxis.jsp文件。例如http://ip：8080/axis2/axis2-web/HappyAxis.jsp，則證明存在漏洞。T/CCUA053-2025圖43Axis容器Web目錄掃描敏感文件泄露漏洞測(cè)試圖B.測(cè)試用例二使用yakit->插件->批量執(zhí)行->點(diǎn)擊搜索，輸入Axis并選中對(duì)應(yīng)的Axis漏洞，輸入url并開(kāi)始檢測(cè)。圖44Axis容器漏洞批量測(cè)試圖T/CCUA053-2025測(cè)試預(yù)期：如顯示執(zhí)行完畢的時(shí)間，如果出現(xiàn)HIT字樣說(shuō)明存在對(duì)應(yīng)的漏洞。B.2.2應(yīng)用服務(wù)未授權(quán)訪問(wèn)漏洞測(cè)試B.2.2.1rsync未授權(quán)訪問(wèn)測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到rsync服務(wù)時(shí)對(duì)相應(yīng)端口進(jìn)行測(cè)試。B.測(cè)試用例一嘗試進(jìn)行rsync未授權(quán)訪問(wèn)：輸入命令rsyncrsync://<server_ip>:<port>/src。rsync的默認(rèn)端口是873，也可能會(huì)修改為其他的端口，根據(jù)前面掃描到的端口進(jìn)行測(cè)試。測(cè)試預(yù)期：可以成功訪問(wèn)到資源，證明漏洞存在。圖45rsync未授權(quán)訪問(wèn)漏洞測(cè)試圖B.2.2.2redis未授權(quán)訪問(wèn)測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到redis服務(wù)時(shí)對(duì)相應(yīng)端口進(jìn)行測(cè)試。B.測(cè)試用例一打開(kāi)Redis客戶端，輸入redis-cli.exe-h<server_ip>-p<port>進(jìn)行未授權(quán)連接。redis默認(rèn)為6379端口，具體端口根據(jù)掃描結(jié)果確定。T/CCUA053-2025圖46Redis客戶端未授權(quán)訪問(wèn)漏洞測(cè)試圖測(cè)試預(yù)期：連接成功，并能查看系統(tǒng)信息，證明存在redis未授權(quán)訪問(wèn)漏洞。B.測(cè)試用例二打開(kāi)RedisManager客戶端，輸入IP及端口，進(jìn)行未授權(quán)連接。redis默認(rèn)為6379端口，具體端口根據(jù)掃描結(jié)果確定。圖47RedisManager客戶端未授權(quán)訪問(wèn)漏洞測(cè)試圖測(cè)試預(yù)期：連接成功，并能查看系統(tǒng)信息，證明存在redis未授權(quán)訪問(wèn)漏洞。B.測(cè)試用例三T/CCUA053-2025圖48YakitRedis爆破與未授權(quán)漏洞測(cè)試入口圖測(cè)試預(yù)期：能獲取到redis賬號(hào)密碼。B.2.2.3Mongodb未授權(quán)訪問(wèn)測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到mongodb服務(wù)時(shí)對(duì)相應(yīng)端口進(jìn)行測(cè)試。B.測(cè)試用例一使用NoSQLBooster數(shù)據(jù)庫(kù)連接工具，輸入目標(biāo)IP：服務(wù)器IP，端口：27017(默認(rèn)為27017，具體端口根據(jù)掃描結(jié)果確定)，不輸入密碼，測(cè)試連接。T/CCUA053-2025圖49Mongodb未授權(quán)訪問(wèn)—繞過(guò)驗(yàn)證測(cè)試連接圖測(cè)試預(yù)期：點(diǎn)擊save&connect后，可成功訪問(wèn)數(shù)據(jù)庫(kù)內(nèi)容，則說(shuō)明存在MongoDB未授權(quán)漏洞。圖50Mongodb未授權(quán)訪問(wèn)—繞過(guò)驗(yàn)證成功連接圖B.測(cè)試用例二T/CCUA053-2025圖51YakitMongodb爆破與未授權(quán)漏洞測(cè)試入口圖圖52YakitMongodb爆破與未授權(quán)漏洞測(cè)試參數(shù)設(shè)置圖T/CCUA053-2025測(cè)試預(yù)期：爆破成功，存在未授權(quán)。B.2.2.4Ldap未授權(quán)訪問(wèn)測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到ldap服務(wù)時(shí)對(duì)相應(yīng)端口進(jìn)行測(cè)試。B.測(cè)試用例一打開(kāi)ldapbrowser，輸入服務(wù)器IP和端口(端口默認(rèn)為389，根據(jù)掃描結(jié)果具體確定)，具體連接設(shè)置如下：圖53LdapBrowser未授權(quán)訪問(wèn)—繞過(guò)驗(yàn)證測(cè)試連接圖測(cè)試預(yù)期：點(diǎn)擊“connect”按鈕，可跳過(guò)驗(yàn)證直接連接，獲取目錄內(nèi)容，證明存在LDAP未授權(quán)漏洞。T/CCUA053-2025圖54LdapBrowser未授權(quán)訪問(wèn)—繞過(guò)驗(yàn)證成功連接圖B.2.2.5elasticsearch未授權(quán)訪問(wèn)測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到elasticsearch服務(wù)時(shí)對(duì)相應(yīng)端口進(jìn)行測(cè)試。B.測(cè)試用例一圖55ElasticSearch未授權(quán)訪問(wèn)漏洞測(cè)試圖B.2.2.6Memcache未授權(quán)訪問(wèn)測(cè)試T/CCUA053-2025B.測(cè)試前置當(dāng)信息收集匹配到memcache服務(wù)時(shí)對(duì)相應(yīng)端口進(jìn)行測(cè)試。B.測(cè)試用例一使用telnet連接目標(biāo)IP及端口，執(zhí)行命令telnet<server_ip><port>端口默認(rèn)為11211，具體根據(jù)掃描結(jié)果指定。圖56Memcache未授權(quán)訪問(wèn)漏洞測(cè)試執(zhí)行命令圖測(cè)試預(yù)期：無(wú)需用戶名、密碼認(rèn)證，可成功訪問(wèn)服務(wù)，可成功查看服務(wù)狀態(tài)，則證明存在memcache未授權(quán)訪問(wèn)漏洞。圖57Memcache未授權(quán)訪問(wèn)漏洞測(cè)試結(jié)果圖（a）T/CCUA053-2025圖58Memcache未授權(quán)訪問(wèn)漏洞測(cè)試結(jié)果圖（b）B.測(cè)試用例二yakit->安全工具->爆破與未授權(quán)->memcached，輸入目標(biāo)，點(diǎn)擊【更多參數(shù)】設(shè)置爆破字典進(jìn)行爆破。T/CCUA053-2025圖59YakitMemcache爆破與未授權(quán)漏洞測(cè)試入口圖測(cè)試預(yù)期：爆破成功，存在未授權(quán)漏洞。B.2.2.7Zookeeper未授權(quán)訪問(wèn)測(cè)試B.測(cè)試前置當(dāng)信息收集匹配到zookeeper服務(wù)時(shí)對(duì)相應(yīng)端口進(jìn)行測(cè)試。B.測(cè)試用例一使用ZooInspector工具的連接設(shè)置，輸入IP地址及端口：服務(wù)器IP:2181(端口默認(rèn)為2181，具體根據(jù)掃描結(jié)果指定)，點(diǎn)擊ok按鈕。T/CCUA053-2025圖60Zookeeper未授權(quán)訪問(wèn)—繞過(guò)驗(yàn)證測(cè)試連接圖測(cè)試預(yù)期：可以直接連接進(jìn)入，則證明存在ZooKeeper未授權(quán)訪問(wèn)漏洞。圖61Zookeeper未授權(quán)訪問(wèn)—繞過(guò)驗(yàn)證連接成功圖B.測(cè)試用例二yakit->插件->Zookeeper未授權(quán)訪問(wèn)。輸入目標(biāo)，設(shè)置掃描端口進(jìn)行爆破。T/CCUA053-2025圖62YakitZookeeper未授權(quán)漏洞測(cè)試入口測(cè)試預(yù)期：插件日志會(huì)顯示zookeeper未授權(quán)訪問(wèn)漏洞的ip地址。B.2.3容器控制臺(tái)默認(rèn)口令測(cè)試B.2.3.1測(cè)試前置依據(jù)信息收集結(jié)果或送測(cè)方資產(chǎn)信息對(duì)根路徑進(jìn)行篩選用例測(cè)試。B.2.3.2測(cè)試用例一當(dāng)信息收集結(jié)果或送測(cè)方資產(chǎn)信息為T(mén)omat時(shí)，對(duì)Tomcat容器進(jìn)行默認(rèn)口令測(cè)試：Tomcat控制臺(tái)URL：http://www.XXX.com/manager/html。Tomcat控制臺(tái)默認(rèn)帳號(hào)admin，默認(rèn)密碼admin或空。測(cè)試預(yù)期：登陸成功，則證明存在漏洞。B.2.3.3測(cè)試用例二當(dāng)信息收集結(jié)果或送測(cè)方資產(chǎn)信息為JBOSS時(shí)，對(duì)JBOSS容器進(jìn)行默認(rèn)口令測(cè)試：Jboss控制臺(tái)URL：http://www.XXX.com/jmx-console/。Jboss控制臺(tái)URL：http://www.XXX.com/web-console/。Jboss控制臺(tái)默認(rèn)無(wú)須登陸，或者admin/admin。測(cè)試預(yù)期：登陸成功，則證明存在漏洞。B.2.3.4測(cè)試用例三當(dāng)信息收集結(jié)果或送測(cè)方資產(chǎn)信息為WebSphere時(shí)，對(duì)WebSphere容器進(jìn)行默認(rèn)口令測(cè)試：T/CCUA053-2025WebSphere控制臺(tái)URL：http://www.XXX.com/ibm/console/logon.jsp。WebSphere默認(rèn)帳號(hào)admin，默認(rèn)密碼admin。測(cè)試預(yù)期：登陸成功，則證明存在漏洞。B.2.3.5測(cè)試用例四Apache當(dāng)信息收集結(jié)果或送測(cè)方資產(chǎn)信息為Apache時(shí)，對(duì)Apache容器進(jìn)行默認(rèn)口令測(cè)試：Apache控制臺(tái)URL：http://www.XXX.com/server-status。測(cè)試預(yù)期：登陸成功，則證明存在漏洞。B.2.3.6測(cè)試用例五Axis2當(dāng)信息收集結(jié)果或送測(cè)方資產(chǎn)信息為Axis2時(shí)，對(duì)Axis2容器進(jìn)行默認(rèn)口令測(cè)試：Axis2控制臺(tái)URL：http://www.XXX.com/axis2-admin/。Axis2控制臺(tái)默認(rèn)口令帳戶：admin/axis2。測(cè)試預(yù)期：登陸成功，則證明存在漏洞。B.2.3.7測(cè)試用例六iSAP當(dāng)信息收集結(jié)果或送測(cè)方資產(chǎn)信息為iSAP時(shí)，對(duì)iSAP容器進(jìn)行默認(rèn)口令測(cè)試：iSAP控制臺(tái)URL：http://www.XXX.com/admin/login.jsp。iSAP控制臺(tái)默認(rèn)的帳號(hào)和密碼：admin/admin。測(cè)試預(yù)期：登陸成功，則證明存在漏洞。B.2.3.8測(cè)試用例七普元當(dāng)信息收集結(jié)果或送測(cè)方資產(chǎn)信息為“普元”時(shí)，對(duì)“普元”容器進(jìn)行默認(rèn)口令測(cè)試：“普元”管理控制臺(tái)URL：http://www.XXX.com/eosmgr/?！捌赵惫芾砜刂婆_(tái)默認(rèn)的帳號(hào)和密碼：sysadmin/000000。測(cè)試預(yù)期：登陸成功，則證明存在漏洞。B.2.4容器敏感信息泄露測(cè)試B.2.4.1測(cè)試前置當(dāng)信息收集發(fā)現(xiàn)存在對(duì)應(yīng)容器時(shí)進(jìn)行容器敏感信息泄露測(cè)試。B.2.4.2測(cè)試用例一使用dirsearch對(duì)web目錄進(jìn)行掃描，查看是否存在tomcat樣例、apachestatus等頁(yè)面。測(cè)試預(yù)期：掃描結(jié)果中發(fā)現(xiàn)存在tomcat樣例、apachestatus等頁(yè)面。B.2.4.3測(cè)試用例二使用瀏覽器或Yakit對(duì)web應(yīng)用進(jìn)行請(qǐng)求，查看響應(yīng)包中是否存在Server頭部字段。測(cè)試預(yù)期：響應(yīng)包中存在Server頭部字段，且其中存在中間件等版本信息。B.2.4.4測(cè)試用例三在功能參數(shù)交互的地方嘗試構(gòu)造一些系統(tǒng)非預(yù)期的參數(shù)進(jìn)行提交，查看響應(yīng)包中是否存在報(bào)錯(cuò)帶出的敏感信息等。測(cè)試預(yù)期：響應(yīng)包中存在報(bào)錯(cuò)帶出的敏感信息等。T/CCUA053-2025B.2.4.5測(cè)試用例四使用瀏覽器或Yakit進(jìn)行正常功能請(qǐng)求，關(guān)注正常功能交互中收到響應(yīng)包里面是否會(huì)有一些額外的泄漏信息。測(cè)試預(yù)期：正常功能交互中收到響應(yīng)包存在額外的泄漏信息。B.2.4.6測(cè)試用例五嘗試越權(quán)或者未授權(quán)的方式進(jìn)行web請(qǐng)求，查看響應(yīng)包中是否存在敏感信息泄露。測(cè)試預(yù)期：響應(yīng)包中存在敏感信息泄露。B.2.4.7測(cè)試用例六使用Yakit工具進(jìn)行抓包，把post方法改成options方法，查看服務(wù)器里是否報(bào)錯(cuò)顯示中間件版本信息。測(cè)試預(yù)期：服務(wù)器報(bào)錯(cuò)顯示中間件版本信息。B.2.4.8測(cè)試用例七使用Yakit工具進(jìn)行抓包，或者在請(qǐng)求頭插入垃圾數(shù)據(jù)，請(qǐng)求體寫(xiě)入垃圾數(shù)據(jù)，如：test_http_method等隨機(jī)構(gòu)造的垃圾字段進(jìn)行拼接，從而導(dǎo)致服務(wù)器報(bào)錯(cuò)，然后查看服務(wù)器里是否報(bào)錯(cuò)顯示中間件版本信測(cè)試預(yù)期：服務(wù)器報(bào)錯(cuò)顯示中間件版本信息。B.2.4.9測(cè)試用例八使用Yakit工具進(jìn)行抓包，進(jìn)行正常請(qǐng)求，請(qǐng)求后根據(jù)響應(yīng)碼對(duì)響應(yīng)包進(jìn)行篩選，針對(duì)4XX及5XX結(jié)合各不同框架和中間件報(bào)錯(cuò)的關(guān)鍵詞，快速查找，查看是否存在敏感信息泄露。測(cè)試預(yù)期：響應(yīng)包中存在敏感信息泄露。B.2.4.10測(cè)試用例九使用dirsearch對(duì)web目錄進(jìn)行掃描，查看是否存在springenvheapdumpthreatdump/swaggeruieurekaDruid接口等頁(yè)面。測(cè)試預(yù)期：掃描結(jié)果中發(fā)現(xiàn)存在springenvheapdumpthreatdump、swaggeruieurekaDruid等頁(yè)面。并存在敏感信息泄露情況。B.2.4.11測(cè)試用例十掃描結(jié)果中出現(xiàn)/api/swagger-ui.html接口，如果能訪問(wèn)成功發(fā)現(xiàn)信息泄漏，證明存在swagger敏感信息泄露。T/CCUA053-2025圖63Swagger敏感信息泄露圖圖64Swagger敏感信息泄露圖B.2.4.12測(cè)試用例十一掃描結(jié)果中出現(xiàn)/druid/index.html接口，如果能成功訪問(wèn)表明存在druid信息泄露。T/CCUA053-2025圖65Druid敏感信息泄露漏洞測(cè)試圖B.2.4.13測(cè)試用例十二spring接口掃描結(jié)果中出現(xiàn)/env接口，訪問(wèn)/env接口可以在頁(yè)面搜索Eureka判斷是否使用該組件。圖66Spring接口掃描組件信息泄露漏洞測(cè)試圖B.2.4.14測(cè)試用例十三SpringBootActuator模塊提供了健康檢查,審計(jì),指標(biāo)收集，HTTP跟蹤等，是幫助我們監(jiān)控和管理SpringBoot應(yīng)用的模塊。如果Actuator使用，可能造成信息泄露等嚴(yán)重的安全隱患。其中heapdump作為Actuator組件最為危險(xiǎn)的Web端點(diǎn)，heapdump因未授權(quán)訪問(wèn)被惡意人員獲取后進(jìn)行分析可進(jìn)一步獲取敏感信息。默認(rèn)情況下所有Web端點(diǎn)都在/actuator目錄下。T/CCUA053-2025圖67SpringBootActuatorWeb站點(diǎn)信息泄露漏洞測(cè)試圖/actuator/env包含被脫敏的數(shù)據(jù)庫(kù)用戶名與密碼與redis數(shù)據(jù)庫(kù)密碼等信息。圖68SpringBootActuator用戶名密碼泄露漏洞測(cè)試圖訪問(wèn)/actuator/heapdump可以下載堆轉(zhuǎn)儲(chǔ)文件，使用安裝JDK自帶的JVisualVM工具，對(duì)HeapDump進(jìn)行分析可獲取敏感系統(tǒng)配置文件。圖69SpringBootActuator敏感系統(tǒng)配置文件泄露漏洞測(cè)試圖（a）T/CCUA053-2025圖70SpringBootActuator敏感系統(tǒng)配置文件泄露漏洞測(cè)試圖（b）圖71SpringBootActuator敏感系統(tǒng)配置文件泄露漏洞測(cè)試圖（c）B.3.Web應(yīng)用組件測(cè)試B.3.1shiro常見(jiàn)漏洞測(cè)試B.3.1.1測(cè)試前置當(dāng)信息收集匹配到shiro框架時(shí)，或者通過(guò)查看響應(yīng)包，Cookie中包含rememberMe=deleteMe時(shí)對(duì)該路徑進(jìn)行測(cè)試。T/CCUA053-2025圖72Shiro框架匹配圖B.3.1.2測(cè)試用例一若使用了shiro框架，使用java-jarshiro_tool.jar嘗試獲取key。測(cè)試預(yù)期:成功發(fā)現(xiàn)key并執(zhí)行命令，如下圖。圖73Shiro漏洞利用工具測(cè)試圖T/CCUA053-2025圖74Shiro漏洞利用工具命令執(zhí)行圖B.3.1.3測(cè)試用例二shiro反序列化漏洞檢測(cè)。使用yakit->手工滲透測(cè)試->MITM->點(diǎn)亮Shiro指紋識(shí)別->正常訪問(wèn)網(wǎng)站即可。圖75YakitShiro反序列化漏洞測(cè)試圖測(cè)試預(yù)期:能成功識(shí)別shiro指紋并且爆破shirokey值。T/CCUA053-2025B.3.2struts2常見(jiàn)漏洞測(cè)試B.3.2.1測(cè)試前置當(dāng)信息收集匹配到struts2框架時(shí)，或者URL中存在.action或.do時(shí)對(duì)該路徑進(jìn)行測(cè)試。B.3.2.2測(cè)試用例一使用struts2漏洞檢測(cè)工具進(jìn)行漏掃檢測(cè)，輸入目標(biāo)url，工具會(huì)自動(dòng)掃描目標(biāo)站點(diǎn)是否存在struts2漏洞。圖76Struts2檢測(cè)工具漏洞掃描測(cè)試圖測(cè)試預(yù)期：選擇掃描到的漏洞編號(hào)，輸入命令，點(diǎn)擊執(zhí)行，即可執(zhí)行命令，若返回預(yù)期的命令執(zhí)行結(jié)果，則證明存在漏洞。T/CCUA053-2025圖77Struts2檢測(cè)工具漏洞利用圖B.3.2.3測(cè)試用例二struts2漏洞批量測(cè)試。使用yakit->專項(xiàng)漏洞檢測(cè)->struts輸入url并開(kāi)始檢測(cè)。T/CCUA053-2025圖78YakitStruts2漏洞批量測(cè)試入口圖測(cè)試預(yù)期：如顯示執(zhí)行完畢的時(shí)間，如果出現(xiàn)HIT字樣說(shuō)明存在對(duì)應(yīng)的漏洞。B.3.3fastjson常見(jiàn)漏洞測(cè)試B.3.3.1測(cè)試前置當(dāng)信息收集匹配到fastjson組件時(shí)，或者手工發(fā)現(xiàn)后端為java并且發(fā)送json數(shù)據(jù)時(shí)對(duì)該路徑進(jìn)行測(cè)試。B.3.3.2測(cè)試用例一1)訪問(wèn)待測(cè)URL：，通過(guò)抓包工具代理流量并開(kāi)啟被動(dòng)掃描，F(xiàn)astJsonScan插件會(huì)自圖79Fastjson漏洞利用工具生成PayLoad圖測(cè)試預(yù)期：dnslog平臺(tái)是否接收到dns請(qǐng)求記錄，如果收到，則證明存在漏洞。T/CCUA053-2025圖80Fastjson漏洞測(cè)試—PayLoad重發(fā)圖圖81Fastjson漏洞測(cè)試—Dnslog請(qǐng)求記錄圖B.3.3.3測(cè)試用例二使用yakit->手工滲透測(cè)試->MITM->點(diǎn)亮FastJSON漏洞檢測(cè)->正常訪問(wèn)網(wǎng)站即可。T/CCUA053-2025圖82YakitFastjson反序列化漏洞測(cè)試入口圖預(yù)期結(jié)果：右上角有高危/嚴(yán)重提醒點(diǎn)擊可B.3.4Apachespring常見(jiàn)漏洞測(cè)試B.3.4.1測(cè)試前置當(dāng)信息收集匹配到apachespring框架時(shí)，或者通過(guò)網(wǎng)頁(yè)左上角的小樹(shù)葉標(biāo)簽，和特有的報(bào)錯(cuò)頁(yè)面識(shí)別到apachespring框架時(shí)對(duì)網(wǎng)站的根路徑進(jìn)行測(cè)試。T/CCUA053-2025圖83Spring框架網(wǎng)站W(wǎng)eb頁(yè)圖B.3.4.2測(cè)試用例一使用漏洞利用腳本cve-2018-1273_cmd.py執(zhí)行命令。測(cè)試預(yù)期：如圖84所示已成功執(zhí)行ping命令，則證明存在漏洞。圖84Spring漏洞檢測(cè)腳本測(cè)試圖B.3.4.3測(cè)試用例二使用yakit->專項(xiàng)漏洞檢測(cè)->Spring輸入url并開(kāi)始檢測(cè)。圖85YakitSpring漏洞批量測(cè)試圖B.3.5Log4j常見(jiàn)漏洞測(cè)試T/CCUA053-2025B.3.5.1測(cè)試前置當(dāng)信息收集識(shí)別到后端語(yǔ)言為java時(shí)對(duì)所有路徑進(jìn)行測(cè)試。B.3.5.2測(cè)試用例一在輸入框等可進(jìn)行數(shù)據(jù)交互處提交payload，如在輸出框中輸入payload并submit：${jndi:ldap:///exp}或${jndi:rmi:///1pscrv}。注：可能需要對(duì)payload進(jìn)行變形以繞過(guò)安全防護(hù)。測(cè)試預(yù)期：可在dnslog平臺(tái)看到dnslog記錄，則證明存在漏洞。B.3.6jenkins常見(jiàn)漏洞測(cè)試B.3.6.1測(cè)試前置當(dāng)信息收集識(shí)別到框架位jenkins時(shí)對(duì)應(yīng)的漏洞進(jìn)行測(cè)試。B.3.6.2測(cè)試用例一使用yakit->專項(xiàng)漏洞檢測(cè)->jenkins輸入url并開(kāi)始檢測(cè)。T/CCUA053-2025圖86YakitJenkins漏洞批量測(cè)試入口圖測(cè)試預(yù)期：如顯示執(zhí)行完畢的時(shí)間，如果出現(xiàn)HIT字樣說(shuō)明存在對(duì)應(yīng)的漏洞。B.3.7elasticsearch常見(jiàn)漏洞測(cè)試B.3.7.1測(cè)試前置當(dāng)信息收集識(shí)別到框架位elasticsearch時(shí)對(duì)應(yīng)的漏洞進(jìn)行測(cè)試。B.3.7.2測(cè)試用例一T/CCUA053-2025圖87Yakitelasticsearch漏洞批量測(cè)試入口圖測(cè)試預(yù)期：如顯示執(zhí)行完畢的時(shí)間，如果出現(xiàn)HIT字樣說(shuō)明存在對(duì)應(yīng)的漏洞。B.4.配置以及部署管理測(cè)試B.4.1備份文件和未引用文件信息泄露測(cè)試B.4.1.1測(cè)試前置針對(duì)Web網(wǎng)站的根與應(yīng)用的根路徑進(jìn)行測(cè)試。B.4.1.2測(cè)試用例一使用dirsearch掃描web目錄，python3dirsearch.py-u。測(cè)試預(yù)期：打開(kāi)掃描的結(jié)果，如果發(fā)現(xiàn)有敏感文件或目錄，則證明存在漏洞。B.4.1.3測(cè)試用例二T/CCUA053-2025使用dirscan進(jìn)行掃描python3dirscan.py-u。測(cè)試預(yù)期：打開(kāi)掃描的結(jié)果，如果發(fā)現(xiàn)有敏感文件或目錄，則證明存在漏洞。B.4.1.4測(cè)試用例三網(wǎng)頁(yè)瀏覽源碼，查找網(wǎng)頁(yè)源碼。測(cè)試預(yù)期：如果源碼中存在備份文件等未引用文件的路徑信息，則證明存在漏洞。B.4.1.5測(cè)試用例四如掃描過(guò)程發(fā)現(xiàn)服務(wù)器存在.svn隱藏文件，使用SvnHack工具進(jìn)行源碼重建，使用命令（調(diào)整至用例下）：pythonSvnHack.py-uhttp://x.x.x.x/.svn/entries下載根目錄，或者使用：pythonSvnHack.py-uhttp://x.x.x.x/.svn/entries—download下載整站，檢查下載內(nèi)容是否有敏感信息。測(cè)試預(yù)期：如果發(fā)現(xiàn)有敏感信息泄露，則證明存在漏洞。B.4.1.6測(cè)試用例五如掃描過(guò)程發(fā)現(xiàn)服務(wù)器存在.git隱藏文件，使用GitHack工具進(jìn)行源碼重建，使用命令：pythonGitHack.py/.git/，還原后的文件在dist/目錄下，檢查還原的文件是否有敏感信息。測(cè)試預(yù)期：如果發(fā)現(xiàn)有敏感信息泄露，則證明存在漏洞。B.4.1.7測(cè)試用例六使用yakit->基礎(chǔ)安全工具->綜合目錄掃描與爆破Web目錄爆破：敏感中間件進(jìn)行測(cè)試git代碼泄T/CCUA053-2025圖88Yakit插件檢測(cè)git代碼泄露入口圖B.4.1.8測(cè)試用例七如存在goroutine，執(zhí)行g(shù)otoolpprof-inuse_spacehttp://XXXXXX/debug/pprof/heap進(jìn)入交互模式，可以使用list命令查看源代碼中哪一行分配的函數(shù)最多，可以使用以下命令直接導(dǎo)出調(diào)用圖，“gotoolpprof-inuse_space-png:18080/debug/pprof/heap>heap.png”。測(cè)試預(yù)期：若可以在程序運(yùn)行一段時(shí)間后，程序出現(xiàn)內(nèi)存泄露，或者查看內(nèi)存占用分析圖，存在兩張圖中內(nèi)存占用比例相差很大的函數(shù)，則存在信息泄露漏洞。B.4.1.9測(cè)試用例八利用pprof定位goroutine。pprof是Go的性能分析工具，在程序運(yùn)行過(guò)程中，可以記錄程序的運(yùn)行信息，可以是CPU使用情況、內(nèi)存使用情況、goroutine運(yùn)行情況等?？梢酝ㄟ^(guò)信息泄漏發(fā)現(xiàn)存活的協(xié)程總個(gè)數(shù)。T/CCUA053-2025圖89pprof發(fā)現(xiàn)存活協(xié)程數(shù)量圖獲取泄漏的heap信息。圖90pprof獲取泄露heap信息圖利用pprof發(fā)現(xiàn)Go目標(biāo)服務(wù)器的內(nèi)存泄漏。圖91pprof發(fā)現(xiàn)Go目標(biāo)服務(wù)器內(nèi)存泄露圖T/CCUA053-2025圖92pprof發(fā)現(xiàn)Go目標(biāo)服務(wù)器內(nèi)存泄露圖B.4.2WEB應(yīng)用敏感信息發(fā)現(xiàn)測(cè)試B.4.2.1測(cè)試前置針對(duì)Web網(wǎng)站的所有路徑進(jìn)行測(cè)試。B.4.2.2測(cè)試用例一通過(guò)Chrome查看源代碼中是否存在內(nèi)網(wǎng)IP、SQL語(yǔ)句、密碼、物理路徑等敏感信息。測(cè)試預(yù)期：發(fā)現(xiàn)內(nèi)網(wǎng)IP、SQL語(yǔ)句、密碼、物理路徑等敏感信息。圖93Chrome查看源代碼發(fā)現(xiàn)敏感信息圖（a）圖94Chrome查看源代碼發(fā)現(xiàn)敏感信息圖（b）B.4.2.3測(cè)試用例二通過(guò)PackerFuzzer腳本爬取Webpack源碼信息，pythonPackerFuzzer.py-u。測(cè)試預(yù)期：該工具會(huì)自動(dòng)生成docx,如下圖所示。T/CCUA053-2025圖95PackerFuzzer腳本生成源碼檢測(cè)報(bào)告圖B.4.2.4測(cè)試用例三通過(guò)xray開(kāi)啟被動(dòng)掃描敏感信息檢測(cè)配置，檢測(cè)頁(yè)面中是否包含用戶信息、銀行卡、身份證、內(nèi)網(wǎng)地址等敏感信息命令xraywebscan--listen:4444--html-output1.html。測(cè)試預(yù)期：發(fā)現(xiàn)用戶信息、銀行卡、身份證、內(nèi)網(wǎng)地址等敏感信息。圖96Xray被動(dòng)掃描敏感信息檢測(cè)圖B.4.2.5測(cè)試用例四抓包獲取頁(yè)面返回信息，查看是否為該業(yè)務(wù)所需的最小信息集，是否存在多余的信息返回。例如查看個(gè)人信息功能的json數(shù)據(jù)返回中，包含除本用戶個(gè)人信息以外其他用戶的信息。測(cè)試預(yù)期：發(fā)現(xiàn)多于預(yù)期的用戶信息、銀行卡、身份證、內(nèi)網(wǎng)地址等敏感信息。B.4.2.6測(cè)試用例五使用yakit->手工滲透測(cè)試->MITM->點(diǎn)亮敏感信息獲取->正常訪問(wèn)網(wǎng)站即可。T/CCUA053-2025圖97Yakit敏感信息獲取入口圖測(cè)試預(yù)期：插件輸出以及漏洞與風(fēng)險(xiǎn)處會(huì)輸出匹配到的敏感信息。B.4.3功能目錄和管理界面枚舉測(cè)試B.4.3.1測(cè)試前置針對(duì)Web網(wǎng)站的所有路徑進(jìn)行測(cè)試。B.4.3.2測(cè)試用例一待測(cè)URL可以訪問(wèn)，形如，使用dirsearch進(jìn)行掃描。python3dirsearch.py–u。測(cè)試預(yù)期：手工打開(kāi)掃描的結(jié)果，如果發(fā)現(xiàn)存在對(duì)外暴露的管理接口和未授權(quán)訪問(wèn)的管理功能，則證明存在漏洞。T/CCUA053-2025B.4.3.3測(cè)試用例二打開(kāi)御劍工具掃描web目錄，輸入待測(cè)URL形如，根據(jù)web應(yīng)用所使用的腳本類型勾選對(duì)應(yīng)的測(cè)試字典，點(diǎn)擊開(kāi)始掃描。圖98御劍工具掃描web目錄圖測(cè)試預(yù)期：手工打開(kāi)掃描的結(jié)果，如果發(fā)現(xiàn)存在對(duì)外暴露的管理接口和未授權(quán)訪問(wèn)的管理功能，則證明存在漏洞。B.4.3.4測(cè)試用例三訪問(wèn)網(wǎng)站robots.txt文件，路徑為/robots.txt，如果網(wǎng)站存在robots.txt文件，可在robots.txt文件中發(fā)現(xiàn)敏感目錄，嘗試訪問(wèn)。測(cè)試預(yù)期：如果發(fā)現(xiàn)存在對(duì)外暴露的管理接口和未授權(quán)訪問(wèn)的管理功能，則證明存在漏洞。T/CCUA053-2025圖99訪問(wèn)網(wǎng)站robots.txt文件圖B.4.3.5測(cè)試用例四通過(guò)jsfinder使用命令pythonJSFinder.py-u或手工的方式查看所有能訪問(wèn)到的頁(yè)面中的js文件，查找隱藏在js文件中的功能接口或者目錄，訪問(wèn)目錄。測(cè)試預(yù)期：如果發(fā)現(xiàn)存在對(duì)外暴露的管理接口和未授權(quán)訪問(wèn)的管理功能，則證明存在漏洞。B.4.3.6測(cè)試用例五2)填寫(xiě)url和路徑字典點(diǎn)擊開(kāi)始執(zhí)行。T/CCUA053-2025圖100Yakit插件目錄爆破入口圖預(yù)期輸出：顯示出爆破出來(lái)的路徑樹(shù)信息。B.4.4目錄列出測(cè)試B.4.4.1測(cè)試前置針對(duì)Web網(wǎng)站的所有目錄進(jìn)行測(cè)試。B.4.4.2測(cè)試用例一使用dirsearch掃描web目錄：python3dirsearch.py—u，瀏覽掃描得到的web路徑如果存在目錄泄露，則證明存在漏洞。測(cè)試預(yù)期：如果存在目錄泄露，則證明存在漏洞。B.4.4.3測(cè)試用例二T/CCUA053-2025圖101Yakit目錄列出漏洞測(cè)試—上傳字典圖T/CCUA053-2025圖102Yakit目錄列出漏洞測(cè)試—設(shè)置字典名字圖T/CCUA053-2025圖103Yakit目錄列出漏洞測(cè)試—復(fù)制Fuzz標(biāo)簽圖T/CCUA053-2025圖104Yakit目錄列出漏洞測(cè)試—?jiǎng)?chuàng)建WebFuzz圖T/CCUA053-2025圖105Yakit目錄列出漏洞測(cè)試—發(fā)送數(shù)據(jù)包圖T/CCUA053-2025圖106Yakit目錄列出漏洞測(cè)試—查看詳細(xì)報(bào)文圖測(cè)試預(yù)期：使用payload，可以成功發(fā)包。B.4.5Cookie敏感信息泄露測(cè)試B.4.5.1測(cè)試前置存在Cookie的web服務(wù)，對(duì)所有接口進(jìn)行測(cè)試。B.4.5.2測(cè)試用例一使用抓包工具抓取數(shù)據(jù)包，查驗(yàn)Cookie字段是否包含登錄用戶名密碼、資源池名稱和地址、內(nèi)網(wǎng)IP等敏感信息。測(cè)試預(yù)期：如果Cookie字段存在是否包含登錄用戶名密碼、資源池名稱和地址、內(nèi)網(wǎng)IP，則證明存在漏洞。B.4.5.3測(cè)試用例二使用抓包工具抓取數(shù)據(jù)包，搜索流量包Set-Cookie或Cookie字段是否包含shirocookie關(guān)鍵字。T/CCUA053-2025圖107搜索流量包Cookie字段關(guān)鍵字圖測(cè)試預(yù)期：如果字段存在IP，則證明存在漏洞，如果ip信息加密，使用quickCook腳本工具進(jìn)行cookie信息解密，如果獲得內(nèi)網(wǎng)IP，則證明存在漏洞。圖108Cookie敏感信息泄露漏洞測(cè)試結(jié)果圖B.4.5.4測(cè)試用例三使用Yakit抓包、瀏覽器直接訪問(wèn)等方式，查看用戶敏感信息，如姓名、身份證號(hào)碼、手機(jī)號(hào)等。查看響應(yīng)包中是否明文顯示上述重要信息。T/CCUA053-2025圖109瀏覽器查看用戶敏感信息明文顯示圖圖110Yakit抓包查看用戶敏感信息明文顯示圖測(cè)試預(yù)期：如果響應(yīng)包中姓名、身份證、手機(jī)號(hào)等敏感信息以明文方式顯示，則存在漏洞。B.4.6HTTP不安全方法測(cè)試B.4.6.1測(cè)試前置對(duì)Web網(wǎng)站的主要業(yè)務(wù)接口進(jìn)行測(cè)試。B.4.6.2測(cè)試用例一使nmap命令如下：nmap