Security Tester — 安全测试员

安全测试员 测试基于OWASP标准的Web应用程序和API安全。 OWASP Top 10（2021）测试矩阵参考：https://owasp.org/Top10/ # 类别 CWE 关键测试 A01 Broken Access Control CWE-284 IDOR，特权升级，强制浏览，CORS A02 Cryptographic Failures CWE-310 TLS配置，密码存储，敏感数据暴露 A03 Injection CWE-74 SQL注入，XSS，命令注入，LDAP注入 A04 Insecure Design CWE-501 业务逻辑缺陷，缺少速率限制 A05 Security Misconfiguration CWE-16 默认凭证，详细错误，不必要的功能 A06 Vulnerable Components CWE-1035 过时库，已知CVE A07 Auth Failures CWE-287 暴力破解，弱密码，会话固定 A08 Data Integrity Failures CWE-502 不安全的反序列化，未签名更新 A09 Logging Failures CWE-778 缺少审计日志，日志注入 A10 SSRF CWE-918 服务器端请求伪造 安全测试用例生成 对于每个API端点或页面，应用此清单： A01：访问控制测试（OWASP-AT） # IDOR：访问其他用户的资源 curl -H "Authorization: Bearer $USER_A_TOKEN" "$URL/api/users/USER_B_ID/profile" # 预期：403 Forbidden # 水平特权升级 curl -H "Authorization: Bearer $NORMAL_USER_TOKEN" "$URL/api/admin/users" # 预期：403 Forbidden # 强制浏览（未经身份验证） curl "$URL/api/internal/config" # 预期：401 Unauthorized # CORS配置错误 curl -H "Origin: https://evil.com" -I "$URL/api/data" # 检查：Access-Control-Allow-Origin不应为*或evil.com # HTTP方法篡改 curl -X DELETE -H "Authorization: Bearer $READONLY_TOKEN" "$URL/api/items/1" # 预期：403如果用户缺乏删除权限 A03：注入测试 # SQL注入（OWASP-DV-005） # 参考：CWE-89 PAYLOADS=( "' OR '1'='1" "' OR '1'='1' --" "'; DROP TABLE users; --" "' UNION SELECT null,null,null --" "1' AND SLEEP(5) --" ) for p in "${PAYLOADS[@]}"; do echo "测试：$p" curl -s -o /dev/null -w "%{http_code} %{time_total}s" "$URL/api/search?q=$(python3 -c "import urllib.parse; print(urllib.parse.quote('$p'))")" echo done # XSS（OWASP-DV-001） # 参考：CWE-79 XSS_PAYLOADS=( '' '' '">' ) # 命令注入（CWE-78） CMD_PAYLOADS=( '; ls -la' '| cat /etc/passwd' '$(whoami)' 'id' ) A07：身份验证测试 # 暴力破解保护（OWASP-AT-004） for i in $(seq 1 20); do STATUS=$(curl -s -o /dev/null -w "%{http_code}" -X POST "$URL/api/login" -H "Content-Type: application/json" -d "{\"username\":\"admin\",\"password\":\"wrong$i\"}") echo "尝试 $i：$STATUS" # 在5-10次尝试后，应看到429或帐户锁定 done # 会话固定 # 1. 获取会话之前登录 # 2. 登录 # 3. 验证会话ID在登录后更改 # JWT漏洞 # 检查：alg=none绕过，弱密钥，缺少过期时间 echo "$JWT" | cut -d. -f2 | base64 -d 2>/dev/null | python3 -m json.tool 漏洞报告模板

安全发现

标题：[CWE-XXX] 简要描述 严重性： Critical / High / Medium / Low / Info CVSS 3.1：X.X（{vector_string}） CWE：CWE-XXX（{cwe_name}） OWASP：A0X:2021（{category}） 受影响：{端点/组件}

描述

漏洞是什么以及为什么重要。

证明

一步一步的重现，使用确切的命令/请求。

影响

• 机密性：{High/Medium/Low/None}
• 完整性：{High/Medium/Low/None}
• 可用性：{High/Medium/Low/None}

修复

特定的修复建议，包括代码示例。

参考

• OWASP：{链接}
• CWE：{链接}

CVSS 3.1快速评分（参考：https://www.first.org/cvss/） 严重性 得分 示例 Critical 9.0-10.0 未经身份验证的RCE，批量数据泄露 High 7.0-8.9 SQL注入具有数据访问，身份验证绕过 Medium 4.0-6.9 存储XSS，IDOR具有有限数据 Low 0.1-3.9 反射XSS需要交互 Info 0.0 版本披露，缺少头部 安全头部检查 # 检查响应头部 curl -sI "$URL" | grep -iE "strict-transport|content-security|x-frame|x-content-type|x-xss|referrer-policy|permissions-policy" # 预期头部： # Strict-Transport-Security：max-age=31536000；includeSubDomains # Content-Security-Policy：default-src 'self' # X-Frame-Options：DENY或SAMEORIGIN # X-Content-Type-Options：nosniff # Referrer-Policy：strict-origin-when-cross-origin # Permissions-Policy：camera=()，microphone=() 参考 有关每个类别的详细测试程序： OWASP Top 10详细测试：请参阅references/owasp-top10-tests.md API特定安全性：请参阅references/api-security.md