APPSCAN测试策略.doc

测试策略: 定制模板测试策略 描述: This policy includes all Honkwin tests except port listener tests. 测试（11483-58480种）： 名称 严重性 登录错误消息凭证枚举 High IIS localstart.asp 可能的蛮力 High 不充分帐户封锁 High 可预测的登录凭证 High phpMyAdmin 控制台远程数据库管理 High Netscape Administration Server 密码检索 High HTTP PUT 方法站点篡改 High Lotus Domino Web 服务器文件检索 High Macromedia JRun Administration Server 认证旁路 High Macromedia Dreamweaver 远程数据库未授权的访问 High Netscape Enterprise Server/Sun ONE 未授权的管理特权和拒绝服务 High ASP.NET 表单认证旁路 High 使用 SQL 注入的认证旁路 High EWS（Excite for Web Servers）特权升级 High Tektronix PhaserLink Webserver 远程管理认证旁路 High JBoss Web 管理控制台认证旁路 High JBoss Java 管理扩展控制台认证旁路 High Macromedia ColdFusion 弱会话 Cookie High Apache JServ 弱令牌算法 High 未授权的 PL/SQL 管理页面访问 Medium 通过 Cookie 操纵的可能的垂直特权升级 Medium Microsoft FrontPage Server Extensions 管理界面 Medium BEA WebLogic 管理界面 Medium Apache Tomcat Context Administration Tool 无特权访问 Medium Lotus Domino Web Administration 模板访问 Medium Cobalt RaQ 特权升级 Medium Oracle Application Server 管理界面 Medium Banner Rotating 01 特权升级 Medium Account Manager CGI 远程密码更改 Medium Lyris List Manager 访问控制旁路 Medium GWScripts News Publisher 访问控制旁路 Medium 新闻更新访问控制旁路 Medium WWWboard.pl 密码检索 Medium Powerscripts PlusMail 密码更改 Medium Subscribe Me Mailing List Manager 特权升级 Medium PCCS MySQL 数据库管理工具管理员密码泄露 Medium 应用流程 Subversion 所用的 Webevent 管理权 Medium Microsoft FrontPage Extensions 站点篡改 Medium 跨站点请求伪造 Medium Microsoft IIS Hit Highlighting 认证旁路 Medium 永久 Cookie 包含敏感的会话信息 High 注销后会话未失效 High 外部会话标识实施 High 会话标识未更新 High 会话定置 High HTTP 响应分割 Medium 启用了不安全的 HTTP 方法 Medium 通过 URL 重定向钓鱼 Medium 通过框架钓鱼 Medium SAP Web Application Server HTTP 响应注入 Medium Oracle 10g HTTP 响应分割 Medium 链接注入（便于跨站请求伪造） Medium phpPgAdmin redirect.php URL 重定向 Medium WebDAV MKCOL 方法站点篡改 Medium 存储的响应分割 Medium 通过 Flash 钓鱼 Medium Flash 中的不安全直接对象引用 Medium Microsoft Outlook Web Access for Exchange URL 重定向 Medium WoltLab Burning Board dereferrer.php URL 重定向 Medium 跨站点脚本编制 High 基于 DOM 的跨站点脚本编制 High 主机允许从任何域进行 flash