T-CCUA 053-2025 金融机构 应用系统安全测试规程

ICS35.240.40CCSL67T/CCUA中国计算机用户协会团体标准Applicationsystemsecurity中中国计算机用户协会发布IT/CCUA053-2025 2规范性引用文件 3术语和定义 4缩略语 5测试原则 6测试规程 附录A（规范性） 附录B（资料性） 参考文献 T/CCUA053-2025本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起本文件由中国计算机用户协会提出并归口管理。本文件起草单位：中国计算机用户协会信息科技审计分会、中国农业银行股份有限公司、新华三技术有限公司、中国建设银行股份有限公司、华夏银行股份有限公司、上海浦东发展银行股份有限公司、中国光大银行股份有限公司、渤海银行股份有限公司、九江银行股份有限公司、深圳前海微众银行股份有限公司、开泰银行（中国）有限公司、浙江农商联合银行股份有限公司、山东重工集团财务有限公司、中国人寿保险集团股份有限公司、北京安全共识科技有限公司、四维创智（北京）科技发展有限公司、奇安信网神信息技术（北京）股份有限公司、北京赛博昆仑科技有限公司、上海斗象信息科技有限公司北京神州绿盟科技有限公司、北京奇虎科技有限公司、北京长亭科技有限公司、远江盛邦（北京）网络安全科技股份有限公司、南京审计大学、北京信息科技大学、中治研（北京）国际信息技术研究院。本文件主要起草人：李树尉、何启翱、刘述忠、孟磊、王杰、王明月、张之则、张博森、陈昱瑾、李之森、王旭东、周旭东、许川、陈德锋、蒋斌、袁庶轶、张璐、卢宏旺、郑长春、朱佳宾、万丹丹、李城漳、窦春坦、丁伟、陈功昊、方笠、高晋龙、李海龙、贾斌、邬迪、卢中阳、吴竞宇、司红星、颜诗羚、刘新强、郑文彬、徐钟豪、范晓玥、邵子扬、魏日锐、刘红涛、李者龙、杨坤、郝龙、何文杰、郭红建、崔国玺、戴明、孙卫东、杨晓平、魏东。1T/CCUA053-2025金融机构应用系统安全测试规程本文件规定了金融行业应用系统安全测试的原则、流程、测试项和方法。适用于B/S架构的应用系统开展安全测试。本文件适用于：a)金融机构及其分支机构通过自有团队开展应用系统安全测试的管理工作。b)金融机构及其分支机构通过外部团队开展应用系统安全测试的管理工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅该日期对应的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T15843.1-2008信息技术安全技术实体鉴别第1部分：概述GB/T25069-2020信息安全技术术语GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇GB/T30273-2013信息安全技术信息系统安全管理要求GB/T31509-2015信息安全技术信息安全风险评估实施指南GB/T36322-2018信息安全技术密码设备应用接口规范JR/T0171-2020个人金融信息保护技术规范JR/T0185-2020金融科技创新安全通用规范3术语和定义GB/T25069-2022、GB/T30273-2013、GB/T29246-2017界定的以及下列术语和定义适用于本文件。3.1应用软件系统applicationsoftwaresystem对特定业务进行处理的软件系统。[来源：GB/T25069-2022，3.731]3.2应用程序接口applicationprogramminginterface通过预定义功能访问服务而不关注其设计与实现的接口。[来源：JR/T0185-2020，3.1]2T/CCUA053-20253.3B/S架构（Browser/Serverarchitecture）一种软件体系结构模式，客户端通过浏览器访问，主要业务逻辑在服务器端运行。[来源：GB/T25069-2020，3.2.14；GB/T5271.15-2010，3.1.5]3.4中间件middleware分布式系统中实现应用程序或组件间通信与数据交换的软件层。[来源：GB/T30273-2013，2.2]3.5应用服务器applicationserver提供应用程序运行环境的中间件。[来源：GB/T30273-2013，2.3]3.6应用系统安全测试applicationsecuritytesting通过技术方法验证应用系统及其运行环境安全质量的过程。[来源：GB/T29246-2017，4.2.1，有修改]3.7安全缺陷securityvulnerability违背信息安全原则导致可能被恶意利用的系统缺陷。[来源：GB/T30273-2013，2.1.5]3.8泄露disclosure违反安全策略导致数据被未授权使用的行为。[来源：GB/T25069-2022，3.670]3.9加密encipherment;encryption对数据进行密码变换产生密文的过程。[来源：GB/T36322-2018，3.5]3.103T/CCUA053-2025未加密的信息。[来源：GB/T15843.1-2008，3.19]3.11敏感信息sensitiveinformation泄露后可能造成用户或机构损失的数据。[来源：JR/T0171-2020，3.2]3.12个人金融信息personalfinancialinformation金融业机构在业务活动中获取、加工和保存的个人信息。[来源：JR/T0171-2020，3.1]3.13字典攻击dictionaryattack通过遍历预定义密钥或口令集合猜测凭证的攻击方法。[来源：GB/T25069-2022，3.813]3.14备份文件backupfiles用于数据恢复的文件副本。[来源：GB/T25069-2022，3.44]3.15命令注入commandinjection未过滤用户输入导致执行非预期系统命令的漏洞。[来源：GB/T30273-2013，2.6.5]3.16代码注入codeinjection未严格过滤输入导致执行非预期程序代码的漏洞。[来源：GB/T30273-2013，2.6.4]3.17目录遍历directorytraversal未校验用户输入导致访问授权范围外文件的漏洞。[来源：GB/T30273-2013，2.6.8]3.18文件包含fileinclusion4T/CCUA053-2025未过滤参数导致执行非预期代码的文件加载漏洞。[来源：GB/T30273-2013，2.6.7]3.19暴力破解攻击bruteforceattack通过遍历可能凭证组合获取信息的攻击方法。[来源：GB/T25069-2022，3.94]3.20保密性confidentiality信息不被未授权访问或泄露的特性。[来源：GB/T25069-2022，3.41]3.21完整性integrity信息保持准确和完备的特性。[来源：GB/T25069-2022，3.612]3.22可用性availability授权实体可按规定需求访问的特性。[来源：GB/T25069-2022，3.345]4缩略语下列缩略语适用于本文件。API应用程序接口（ApplicationProgrammingInterface）CSP内容安全策略（ContentSecurityPolicy）CRLF回车换行（CarriageReturn/LineFeed）CSRF跨站请求伪造（Cross-SiteRequestForgery）DoS拒绝服务（DenialofService）HTML超文本标记语言（HyperTextMarkupLanguage）HSTSHTTP严格传输安全（HTTPStrictTransportSecurity）HTTP超文本传输协议（HyperTextTransferProtocol）HTTPS超文本传输安全协议（HyperTextTransferProtocolSecure）IIS互联网信息服务（InternetInformationServices）LDAP轻量目录访问协议（LightweightDirectoryAccessProtocol）MML人机交互语言（Man-MachineLanguage）POC概念验证（ProofofConcept）5T/CCUA053-2025SQL结构化查询语言（StructuredQueryLanguage）SSI服务器端包含（Server-SideIncludes）SSRF服务器端请求伪造（Server-SideRequestForgery）SSTI服务器端模板注入（Server-SideTemplateInjection）URL统一资源定位符（UniformResourceLocator）WSDLWeb服务描述语言（WebServicesDescriptionLanguage）XFF转发客户端地址（X-Forwarded-For）XPathXML路径语言（XMLPathLanguage）XSS跨站脚本（Cross-SiteScripting）XXEXML外部实体注入（XMLExternalEntityInjection）5测试原则5.1全面性测试范围应覆盖目标应用系统的所有功能、场景及测试项，涵盖不同角色和用户权限下的访问路径。5.2可控性测试过程应进行全过程控制，确保人员、工具及活动的安全可控。5.3最小影响测试活动应对应用系统和网络运行的影响降至最低。如：a)选择非业务高峰时段；b)制定系统应急预案；c)限制高风险操作范围。5.4分级管理应对应用系统及发现的安全缺陷实施分级管理，优先保障关键系统的资源投入。5.5保密性未经授权，测试方不应泄露任何测试获取的信息，包括但不限于：a)系统架构与业务数据；b)安全缺陷详情；c)相关人员信息。5.6合规性测试活动应覆盖应用系统全生命周期，并根据投产阶段差异执行对应的测试要求。5.7及时性测试方应及时提交发现的安全缺陷，从检测到提交的时间间隔不应超过规定时限。6测试规程6.1测试流程测试流程分为测试准备、测试实施两个阶段（见图1），各阶段工作应符合以下要求：a)测试准备阶段由测试发起方提供基础材料，测试执行方编制测试方案；b)测试实施阶段执行附录A规定的测试项，操作指引详见附录B；c)测试复测阶段验证安全缺陷修复有效性。6T/CCUA053-20256.1.1测试准备阶段测试发起方应提供：a)资产清单（含URL列表）；b)多角色测试账户；c)测试范围说明（含裁剪需求）。测试执行方应根据上述材料编制测试方案，明确：a)测试项（按附录A选取）；b)测试用例（按附录B开展）；c)风险控制措施。6.1.2测试实施阶段测试执行方应：a)依据测试方案执行测试；b)记录测试过程及结果；c)输出安全缺陷报告。d)验证已修复安全缺陷；e)回归测试关联功能；f)复测并确认所有缺陷闭环。图1测试流程图6.2测试项根据应用系统安全测试原则和规程，安全测试项可分为11类：应用资产收集（C1）、Web容器及应用服务测试（C2）、Web应用组件测试（C3）、配置及部署管理测试（C4）、会话管理测试（C5）、7T/CCUA053-2025访问授权测试（C6）、身份鉴别与认证测试（C7）、输入有效性验证测试（C8）、加解密测试（C9）、基础场景业务逻辑测试（C10）、金融场景业务逻辑测试（C11）。6.2.1应用资产收集应用资产收集包括4个测试项，WEB应用资产收集（T1）、APP应用资产收集（T2）、应用指纹收集（T3）、端口及服务枚举收集（T4）。a）WEB应用资产收集是通过使用网站爬虫获取WEB应用资产清单，作为测试准备阶段输出URL清单。b）APP应用资产收集是通过设置代理、抓包、逆向分析和遍历点击等获取资产清单，作为测试准备阶段输出URL清单。c）应用指纹收集是通过URL爬取、特征比对、目录扫描测试等确6.2.2Web容器及应用服务测试Web容器及应用服务测试包括Web容器常见漏洞测试、应用服务未授权访问漏洞测试、容器控制台默认口令测试、容器敏感信息泄露测试。Web容器常见漏洞测试根据基于资产收集阶段识别的容器信息，Web容器安全缺陷测试包括8个测试项：IIS容器常见漏洞测试（T5）、Apache容器常见漏洞测试（T6）、Nginx容器常见漏洞测试（T7）、Weblogic容器常见漏洞测试（T8）、Tomcat容器常见漏洞测试（T9）、Jboss容器常见漏洞测试（T10）、Websphere容器常见漏洞测试（T11）、Axis容器常见漏洞测试（T12）。应用服务未授权访问漏洞测试未授权访问测试（T17）、Memcache未授权访问测试（T18）、Zookeeper未授权访问测试（T19）。容器控制台默认口令测试容器控制台默认口令测试（T20）是对web容器控制台进行默认口令测试，以发现不安全的账户信容器敏感信息泄露测试容器敏感信息泄露测试（T21)）是对web容器发起正常或非法请求，查看是否有敏感信息返回。6.2.3Web应用组件测试Web应用组件测试是验证组件框架安全缺陷，包括7项：shiro常见漏洞测试（T22）、struts2常见漏洞测试（T23）fastjson常见漏洞测试（T24）、spring常见漏洞测试（T25）、Log4j常见漏洞测试（T26）、jenkins常见漏洞测试（T27）、elasticsearch常见漏洞测试（T28）。6.2.4配置以及部署管理测试配置以及部署管理测试是检测配置不当导致的安全缺陷，包括9项：备份文件和未引用文件信息泄露测试（T29）、WEB应用敏感信息发现测试（T30）、功能目录和管理界面枚举测试（T31）、目录列出8T/CCUA053-2025测试（T32）、Cookie敏感信息泄露测试（T33）、HTTP不安全方法测试（T34）、跨域策略测试（T35）、配置管理账户弱口令测试（T36）、jwt常见漏洞测试（T37）。6.2.5会话管理测试会话管理测试类包括3个测试项：Cookie属性测试（T38）、会话固定测试(T39)、跨站请求伪造测试(T40)b）会话固定测试是通过对登陆前后的会话标识进行对比，测试登陆成功后会c)跨站请求伪造测试是通过盗用其他用户身份，检查是否能以其他账户的名6.2.6访问授权测试访问授权测试类包括1个测试项：未授权访问测试（T41）。注：未授权访问测试是通过对需认证后访问的各个功能点进行匿名访问，发现无需认证6.2.7身份鉴别与认证测试身份鉴别与认证测试是检测认证机制的缺陷，包括3个测试项：账户枚举测试（T42）、默认口令与弱口令测试（T43）、凭证暴力破解测试（T44）。6.2.8输入有效性验证测试输入有效性验证测试是验证输入过滤机制的缺陷，包括21个测试项：通用型跨站脚本攻击测试（T45PDF文件类xss脚本攻击测试（T46）、SQL注入测试（T47）、LDAP注入测试（T48）、XML外部实体注入测试（T49）、SSI注入测试（T50）、SSTI模板注入测试（T51）、XPath注入测试（T52）、IMAPSMTP注入测试（T53）、代码注入测试（T54）、命令注入测试（T55）、HTTP分割/伪造测试（T56）、主机头注入测试（T57）、服务器端请求伪造测试（T58）、任意地址重定向测试（T59）、通用型文件上传测试（T60）、文件上传解析测试（T61）、非预期的文件下载测试（T62）、文件包含测试（T63）、MML注入测试（T64）、应用类拒绝服务攻击测试（T65）。6.2.9加解密测试加解密测试类包括2个测试项：传输层安全性测试（T66）、敏感信息脱敏测试（T67）。a）传输层安全性测试是通过访问业务系统b）敏感信息脱敏测试是通过抓包工具对WEB应用页面的请求进行抓包，6.2.10基础场景业务逻辑测试执行基础场景业务逻辑测试时应同步执行相关安全测试项（会话管理、输入验证等覆盖关联业务场景所有测试项，对弱加密字段解密后测试，并考虑多字段组合场景。包括认证要素类场景测试、登录类场景测试、账户管理类场景测试、密码管理类场景测试、信息查询及维护类场景测试。认证要素类场景测试9T/CCUA053-2025图形验证码场景（T70）生物特征识别场景（T71）、K宝K令场景（T72）、滑动验证场景（T73）。登录类场景测试登录类场景测试是通过抓包工具对登录类场景的接口内容及工作流程进行分析，逐条实施案例验证是否存在业务逻辑漏洞。包括2个测试项：登录场景业务逻辑（T74）、登出场景业务逻辑测试（T75）。账户管理类场景测试账户管理类场景测试是验证账户管理缺陷，包括4个测试项：注册场景（T76）、注销场景（T77）、权限变更场景（T78）、账户状态变更场景（T79）。密码管理类场景测试密码管理类场景测试是验证密码管理缺陷，包括2个测试项：密码修改场景（T80）、密码找回场景（T81）。信息查询及维护类场景测试信息查询及维护类场景测试是验证信息管理缺陷，包括4个测试项：信息查询场景（T82）、信息修改场景（T83）、信息导出场景（T84）、信息删除场景（T85）。6.2.11金融场景业务逻辑测试金融场景业务逻辑测试包括金融交易类场景业务逻辑测试、金融交易关联类场景业务逻辑测试。金融交易类场景业务逻辑测试金融交易类场景业务逻辑测试是验证金融交易缺陷，包括10个测试项：支付场景业务逻辑测试（T转账场景（T87）业务逻辑测试、贷款场景业务逻辑测试（T88）、充值缴费场景业务逻辑测试（T89）、非金融产品购买场景业务逻辑测试（T90）、非金融订单取消场景业务逻辑测试（T91）、非金融产品退货/退款场景业务逻辑测试（T92）、金融产品购买场景业务逻辑测试（T93）、金融产品赎回场景业务逻辑测（T94）、金融产品订单取消场景业务逻辑测试（T95）。金融交易关联类场景业务逻辑测试金融交易关联类场景业务逻辑测试是验证关联业务缺陷，包括7个测试项：业务开立场景（T96）、业务变更场景（T97）、业务解约场景（T98）、审批审核场景（T99）、优惠活动/券/积分获取场景业务逻辑测试（T100）、优惠活动/券/积分使用场景业务逻辑测试（T101）。6.3测试方法具体测试方法见附录。其中附录A规定了测试项的分类、编码及其与业务场景、测试工具、用例编号的对应关系，是测试实施、覆盖性确认的依据。测试执行时，应依据测试方案，从附录A选择或裁剪相应测试项，结合系统特性与风险等级确定测试内容；并按附录A中的测试标签与工具指引开展验证，规范记录输入、步骤、预期与结果，确保可追溯与复测闭环。附录B为与附录A编号一一对应的具体测试用例，包含前置条件、操作步骤、检验方法与判定准则，供测试实施与结果复核时调用。T/CCUA053-2025测试项清单测试项清单规定了应用系统安全测试的测试项分类及编码规则，适用于第6章测试内容的执行。应符合表A.1规定。别例1集WEB应用安全12WEB应用安全23WEB应用安全4集WEB应用安全5试162T/CCUA053-2025表A.1（续）738洞检测利用程序49序56oit.jar等各类序78123试456T/CCUA053-2025表A.1（续）7器试试试WEB应用安全T/CCUA053-2025表A.1（续）WEB应用安全WEB应用安全WEB应用安全等目录扫描工具WEB应用安全WEB应用安全WEB应用安全Web应用安全Web应用安全试Web应用安全Web应用安全Web应用安全T/CCUA053-2025表A.1（续）试Web应用安全试Web应用安全Web应用安全试WEB应用安全1WEB应用安全2WEB应用安全WEB应用安全WEB应用安全WEB应用安全WEB应用安全T/CCUA053-2025表A.1（续）WEB应用安全试WEB应用安全WEB应用安全WEB应用安全试WEB应用安全等WEB应用安全WEB应用安全试Web应用安全试Web应用安全Web应用安全Web应用安全Web应用安全T/CCUA053-2025表A.1（续）示屏幕(电信设机交互设备等)WEB应用安全试试试试试景试试试试试试试试T/CCUA053-2025表A.1（续）试试试信息查询等）试试试试试试试试试试试T/CCUA053-2025表A.1（完）试试消试试试试试试试试T/CCUA053-2025B.1.URL清单收集B.1.1应用资产收集B.1.1.1WEB应用资产收集B.测试用例一测试步骤：a)打开Yakit，进行主动资产收集。b)查看Yakit->首页->基础爬虫。c)输入需要爬取的网站，爬取该网站目录。图1Web应用主动资产收集—Yakit爬取网站目录图B.测试用例二a)打开Yakit，进行被动资产收集。b)手动点击完全部功能点后查看Yakit->target（目标）,右侧有所有访问记录，导出记录。T/CCUA053-2025图2Web应用被动资产收集——Yakit查看访问记录图B.测试用例三T/CCUA053-2025图3Web应用资产收集—YakitWebSocket接口收集图B.测试用例四通过点击对应链接中的详情信息查看http响应请求。T/CCUA053-2025图4Web应用主动资产收集—Yakit查看http请求响应详情图通过右键发送到fuzzer进行测试。T/CCUA053-2025图5Web应用主动资产收集—Yakit发送fuzzer测试图B.测试用例五a)打开yakit，进行被动资产收集。b)手动点击完全部功能点后查看yakit->histroy->网站树结构查看访问的所有url，以及通过history搜索功能进行过滤。T/CCUA053-2025图6Web应用被动资产收集—Yakit网站树图T/CCUA053-2025图7Web应用被动资产收集—YakitHttphistory搜索过滤图测试输出：网站URL、所有动态接口。B.1.1.2APP应用资产收集B.测试用例一a)打开Yakit，进行被动资产收集。b)手动点击完全部功能点后查看Yakit->history（目标）,右侧有所有访问记录，导出记录。T/CCUA053-2025图8APP应用被动资产收集—Yakit查看访问记录图测试输出：网站URL、所有动态接口。B.测试用例二a)打开yakit，进行被动资产收集。b)手动点击完全部功能点后查看yakit->手工渗透测试->MITM->网站树结构查看访问的所有url，以及通过history搜索功能进行过滤。T/CCUA053-2025图9APP应用被动资产收集—Yakit网站树图T/CCUA053-2025图10APP应用被动资产收集—YakitHttphistory搜索过滤图测试输出：网站URL、所有动态接口。B.测试用例三打开Yakit，通过Yakit的history后，使用高级筛选，选择websocket，为后面的API服务测试中的WebSocket接口测试收集信息。T/CCUA053-2025图11APP应用资产收集—YakitWebSocket接口收集图B.1.2应用指纹收集B.1.2.1测试用例一通过主动探测插件来开启扫描。T/CCUA053-2025图12Yakit主动指纹探测图B.1.2.2测试用例二通过Wappalyzer进行指纹识别。T/CCUA053-2025图13Wappalyzer指纹收集图B.1.2.3测试用例三通过Eholefinger-u进行指纹识别。图14EholeFinger指纹收集图B.1.2.4测试用例四T/CCUA053-2025通过Finger-u进行指纹识别。图15Finger指纹收集图B.1.2.5测试用例五通过yakit->渗透测试->mitm点亮被动指纹检测，使用yakit被动插件进行识别。图16Yakit被动插件指纹收集图测试输出：以上工具输出应注意以下信息（各工具输出格式存在不同，以实际输出为准）：l站点信息（含URL、IP，主要用于区分不同站点）；T/CCUA053-2025lCMS指纹信息（如通达、用友等）；lweb服务器banner信息（如apache版本、tomcat版本等）；lweb框架信息（如spring-boot版本信息等）；l站点编程语言（如PHP，JAVA等）。B.1.3端口及服务枚举收集B.1.3.1测试用例一通过nmap-vv-sS-sV-A-p-进行扫描(使用Nmap多种协议进行扫描，防止WAF拦截)。图17Nmap端口扫描图测试输出：返回目标主机开放端口及对应服务，如8080对应HTTP，445对应SMB。B.1.3.2测试用例二通过goby进行目标端口服务扫描，直接使用目标IP建立扫描任务。T/CCUA053-2025图18goby端口扫描图测试输出：返回目标主机开放端口及对应服务，如8080对应HTTP，445对应SMB。B.1.3.3测试用例三domain=进行查询（此方法只适用于外网资产）。图19fofa端口扫描图测试输出：返回目标主机开放端口及对应服务，如8080对应HTTP，445对应SMB。B.1.3.4测试用例四使用yakit->安全工具->扫描端口/指纹进行扫描。T/CCUA053-2025图20yakit端口/指纹扫描图测试输出：返回目标主机开放端口及对应服务，如8080对应HTTP，445对应SMB。B.2.Web容器及应用服务测试B.2.1Web容器常见漏洞测试B.2.1.1IIS容器常见漏洞测试B.测试前置当信息收集匹配到IIS容器时，针对IIS进行安全性测试，包括但不限于IIS短文件名漏洞、http.sys远程代码执行漏洞等常见的IIS容器漏洞。B.测试用例一使用iis_shortname_scanner.jar工具使用命令java-jariis_shortname_scanner.jar对目标进行测试。测试预期：观察返回信息，如果显示filesfound，则存在漏洞。T/CCUA053-2025图21IIS短文件名漏洞测试图B.测试用例二在HTTP请求头中增加“Range：bytes=0-18446744073709551615”构造恶意请求包进行发包。或者发送curlhttp://ip-H"Host:32"-H"Range:bytes=0-18446744073709551615"即可。图22IISHTTP.sys远程代码执行漏洞测试图测试预期：若响应码为416，响应内容为“RequestedRangeNotSatisfieable”，则漏洞存在。B.测试用例三使用yakit->专项漏洞检测->iis输入url并开始检测。图23Yakitiis漏洞批量检测入口图T/CCUA053-2025测试预期：在执行完毕之后出现红色HIT字样则有对应标签漏洞存在，或者执行结束/End。B.2.1.2Apache容器常见漏洞测试B.测试前置当信息收集匹配到Apache容器时对网站的根路径进行测试，包括Apache容器所曝出的已知可利用漏洞。B.测试用例一ApacheHTTPServer2.4.49、2.4.50版本存在CVE-2021-41773目录穿越与命令执行漏洞，可参考如下命令测试：1)先用工具进行扫描，再使用curl验证。图24Apache容器漏洞测试—网站根路径扫描图2)可以看到目标地址的/cgi-bin/目录可以直接访问，使用curl命令测试访问：curl-shttp://yourip/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/etc/passwd#读取Linux服务器的/etc/passwd（注意其中的/cgi-bin/可以是其他的目录，但必须是一个存在且可访问的目录）。T/CCUA053-2025图25Apache容器漏洞测试—curl命令访问验证测试图（a）也可以是http://your-ip/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。图26Apache容器漏洞测试—curl命令访问验证测试图（b）测试预期：命令成功执行，返回账户密码信息，则存在漏洞。B.2.1.3Nginx容器常见漏洞测试B.测试前置当信息收集匹配到Nginx容器时对网站的根路径进行测试，包括Nginx容器所曝出的已知可利用漏洞。B.测试用例一使用如下命令python3nginx-CVE-2017-7529.pyhttp://<ip>:<port>/进行检测。图27ngnix容器CVE-2017-7529漏洞测试图测试预期：如上图所示，在HTTP返回头之前存在缓存文件头，证明Nginx漏洞存在。B.测试用例二T/CCUA053-2025假设Nginx网址为http://<ip>:<port>/，抓包，修改数据包为http://<ip>:<port>/%0a%0dSet-Cookie:%20a=1通过CRLF头部注入漏洞，注入Set-Cookie头。图28ngnix容器CLRF头部注入漏洞测试图测试预期：如上图所示，如果在返回头中存在Set-Cookie：a=1，则证明Nginx漏洞存在。B.测试用例三使用yakit->插件->批量执行->点击搜索输入Nginx并选中对应的Nginx漏洞，输入url并开始检测。T/CCUA053-2025图29ngnix容器漏洞批量测试入口图测试预期：如显示执行完毕的时间，如果出现HIT字样说明存在对应的漏洞。B.2.1.4Weblogic容器常见漏洞测试B.测试前置当信息收集匹配到Weblogic容器时对网站的根路径进行测试，包括Weblogic容器所曝出的已知可利用漏洞。B.测试用例一使用weblogic漏洞利用工具进行漏洞检测，输入目标URL进行检查。测试预期：返回信息root，则证明存在对应漏洞。T/CCUA053-2025图30Weblogic容器漏洞利用工具测试图B.测试用例二WebLogicSSRF漏洞测试，访问URLhttp://<ip>/uddiexplorer/SearchPublicRegistries.jsp。图31Weblogic容器SSRF漏洞测试图测试预期：无需认证即可进入页面，则证明漏洞存在。B.测试用例三使用yakit->专项漏洞检测->weblogic输入url并开始检测。图32Weblogic容器漏洞批量测试入口图测试预期：在执行完毕后出现红色HIT字样则有对应标签漏洞存在。B.2.1.5Tomcat容器常见漏洞测试T/CCUA053-2025B.测试前置当信息收集匹配到Tomcat容器时对网站的根路径进行测试，包括Tomcat容器所曝出的已知可利用漏洞。B.测试用例一对服务器端口进行探测：nmap-sV-Pn-T4x.x.x.x-p8009，如发现8009端口开放，则说明可能存在AJP漏洞：图33Tomcat容器漏洞测试—危险端口探测图测试预期：8009端口开放，使用下图所示Tomcat容器漏洞检测利用程序（CNVD-2020-10487-Tomcat-Ajp-lfi）进行漏洞利用，成功读取服务器文件，说明漏洞存在。图34Tomcat容器漏洞测试利用图T/CCUA053-2025B.2.1.6Jboss容器常见漏洞测试B.测试前置当信息收集匹配到Jboss容器时对网站的根路径进行测试，包括Jboss容器所曝出的已知可利用漏洞。B.测试用例一使用CVE-2017-12149jboss反序列化测试工具，输入目标URL，输入待执行命令。测试预期：若返回预期的命令执行结果信息，则证明存在漏洞。图35Jboss容器反序列化漏洞测试图B.测试用例二测试JBossJMXInvokerServlet反序列化漏洞，使用java反序列化测试工具，输入目标URL，输入待执行命令。测试预期：若返回预期的命令执行结果信息，则证明存在漏洞。T/CCUA053-2025图36JbossJMXInvokerServlet反序列化漏洞测试图B.测试用例三访问url如http://www.XXX.com:8080，进入jboss控制台界面，点击红色框选，如下图：图37Jboss控制台界面图测试预期：无需认证可直接进入jboss应用部署界面，证明存在jboss未授权访问漏洞。T/CCUA053-2025图38Jboss未授权访问漏洞图B.测试用例四在使用Jboss服务器的系统上，浏览器地址栏中访问http://www.XXX.com/status?full=true。T/CCUA053-2025图39Jboss服务器状态信息泄漏漏洞图测试预期：观察返回结果，查看是否包括服务器的状态信息，若存在服务器状态信息，则存在漏洞。B.测试用例五使用yakit->专项漏洞检测->jboss输入url并开始检测。T/CCUA053-2025图40Jboss容器漏洞批量测试入口图测试预期：在执行完毕之后出现红色HIT字样则有对应标签漏洞存在，等全部都显示执行结束/EndB.2.1.7Websphere容器常见漏洞测试B.测试前置当信息收集匹配到Websphere容器时对网站的根路径进行测试，包括Websphere容器所曝出的已知可利用漏洞。B.测试用例一打开工具DeserializeExploit.jar，输入目标url，输入待执行命令。测试预期：若返回预期的命令执行结果信息，则证明存在漏洞。图41Websphere容器漏洞利用工具测试图B.测试用例二使用yakit->插件->批量执行->点击搜索输入Websphere漏洞，输入url并开始检测。T/CCUA053-2025图42Websphere容器漏洞批量测试入口图B.2.1.8Axis容器常见漏洞测试B.测试前置当信息收集匹配到Axis容器时对网站的根路径进行测试，包括Axis容器所曝出的已知可利用漏洞。B.测试用例一使用dirsearch扫描web目录：python3dirsearch.py-u。测试预期：发现axis2之下的happyaxis.jsp文件。例如http://ip：8080/axis2/axis2-web/HappyAxis.jsp，则证明存在漏洞。T/CCUA053-2025图43Axis容器Web目录扫描敏感文件泄露漏洞测试图B.测试用例二使用yakit->插件->批量执行->点击搜索，输入Axis并选中对应的Axis漏洞，输入url并开始检测。图44Axis容器漏洞批量测试图T/CCUA053-2025测试预期：如显示执行完毕的时间，如果出现HIT字样说明存在对应的漏洞。B.2.2应用服务未授权访问漏洞测试B.2.2.1rsync未授权访问测试B.测试前置当信息收集匹配到rsync服务时对相应端口进行测试。B.测试用例一尝试进行rsync未授权访问：输入命令rsyncrsync://<server_ip>:<port>/src。rsync的默认端口是873，也可能会修改为其他的端口，根据前面扫描到的端口进行测试。测试预期：可以成功访问到资源，证明漏洞存在。图45rsync未授权访问漏洞测试图B.2.2.2redis未授权访问测试B.测试前置当信息收集匹配到redis服务时对相应端口进行测试。B.测试用例一打开Redis客户端，输入redis-cli.exe-h<server_ip>-p<port>进行未授权连接。redis默认为6379端口，具体端口根据扫描结果确定。T/CCUA053-2025图46Redis客户端未授权访问漏洞测试图测试预期：连接成功，并能查看系统信息，证明存在redis未授权访问漏洞。B.测试用例二打开RedisManager客户端，输入IP及端口，进行未授权连接。redis默认为6379端口，具体端口根据扫描结果确定。图47RedisManager客户端未授权访问漏洞测试图测试预期：连接成功，并能查看系统信息，证明存在redis未授权访问漏洞。B.测试用例三T/CCUA053-2025图48YakitRedis爆破与未授权漏洞测试入口图测试预期：能获取到redis账号密码。B.2.2.3Mongodb未授权访问测试B.测试前置当信息收集匹配到mongodb服务时对相应端口进行测试。B.测试用例一使用NoSQLBooster数据库连接工具，输入目标IP：服务器IP，端口：27017(默认为27017，具体端口根据扫描结果确定)，不输入密码，测试连接。T/CCUA053-2025图49Mongodb未授权访问—绕过验证测试连接图测试预期：点击save&connect后，可成功访问数据库内容，则说明存在MongoDB未授权漏洞。图50Mongodb未授权访问—绕过验证成功连接图B.测试用例二T/CCUA053-2025图51YakitMongodb爆破与未授权漏洞测试入口图图52YakitMongodb爆破与未授权漏洞测试参数设置图T/CCUA053-2025测试预期：爆破成功，存在未授权。B.2.2.4Ldap未授权访问测试B.测试前置当信息收集匹配到ldap服务时对相应端口进行测试。B.测试用例一打开ldapbrowser，输入服务器IP和端口(端口默认为389，根据扫描结果具体确定)，具体连接设置如下：图53LdapBrowser未授权访问—绕过验证测试连接图测试预期：点击“connect”按钮，可跳过验证直接连接，获取目录内容，证明存在LDAP未授权漏洞。T/CCUA053-2025图54LdapBrowser未授权访问—绕过验证成功连接图B.2.2.5elasticsearch未授权访问测试B.测试前置当信息收集匹配到elasticsearch服务时对相应端口进行测试。B.测试用例一图55ElasticSearch未授权访问漏洞测试图B.2.2.6Memcache未授权访问测试T/CCUA053-2025B.测试前置当信息收集匹配到memcache服务时对相应端口进行测试。B.测试用例一使用telnet连接目标IP及端口，执行命令telnet<server_ip><port>端口默认为11211，具体根据扫描结果指定。图56Memcache未授权访问漏洞测试执行命令图测试预期：无需用户名、密码认证，可成功访问服务，可成功查看服务状态，则证明存在memcache未授权访问漏洞。图57Memcache未授权访问漏洞测试结果图（a）T/CCUA053-2025图58Memcache未授权访问漏洞测试结果图（b）B.测试用例二yakit->安全工具->爆破与未授权->memcached，输入目标，点击【更多参数】设置爆破字典进行爆破。T/CCUA053-2025图59YakitMemcache爆破与未授权漏洞测试入口图测试预期：爆破成功，存在未授权漏洞。B.2.2.7Zookeeper未授权访问测试B.测试前置当信息收集匹配到zookeeper服务时对相应端口进行测试。B.测试用例一使用ZooInspector工具的连接设置，输入IP地址及端口：服务器IP:2181(端口默认为2181，具体根据扫描结果指定)，点击ok按钮。T/CCUA053-2025图60Zookeeper未授权访问—绕过验证测试连接图测试预期：可以直接连接进入，则证明存在ZooKeeper未授权访问漏洞。图61Zookeeper未授权访问—绕过验证连接成功图B.测试用例二yakit->插件->Zookeeper未授权访问。输入目标，设置扫描端口进行爆破。T/CCUA053-2025图62YakitZookeeper未授权漏洞测试入口测试预期：插件日志会显示zookeeper未授权访问漏洞的ip地址。B.2.3容器控制台默认口令测试B.2.3.1测试前置依据信息收集结果或送测方资产信息对根路径进行筛选用例测试。B.2.3.2测试用例一当信息收集结果或送测方资产信息为Tomat时，对Tomcat容器进行默认口令测试：Tomcat控制台URL：http://www.XXX.com/manager/html。Tomcat控制台默认帐号admin，默认密码admin或空。测试预期：登陆成功，则证明存在漏洞。B.2.3.3测试用例二当信息收集结果或送测方资产信息为JBOSS时，对JBOSS容器进行默认口令测试：Jboss控制台URL：http://www.XXX.com/jmx-console/。Jboss控制台URL：http://www.XXX.com/web-console/。Jboss控制台默认无须登陆，或者admin/admin。测试预期：登陆成功，则证明存在漏洞。B.2.3.4测试用例三当信息收集结果或送测方资产信息为WebSphere时，对WebSphere容器进行默认口令测试：T/CCUA053-2025WebSphere控制台URL：http://www.XXX.com/ibm/console/logon.jsp。WebSphere默认帐号admin，默认密码admin。测试预期：登陆成功，则证明存在漏洞。B.2.3.5测试用例四Apache当信息收集结果或送测方资产信息为Apache时，对Apache容器进行默认口令测试：Apache控制台URL：http://www.XXX.com/server-status。测试预期：登陆成功，则证明存在漏洞。B.2.3.6测试用例五Axis2当信息收集结果或送测方资产信息为Axis2时，对Axis2容器进行默认口令测试：Axis2控制台URL：http://www.XXX.com/axis2-admin/。Axis2控制台默认口令帐户：admin/axis2。测试预期：登陆成功，则证明存在漏洞。B.2.3.7测试用例六iSAP当信息收集结果或送测方资产信息为iSAP时，对iSAP容器进行默认口令测试：iSAP控制台URL：http://www.XXX.com/admin/login.jsp。iSAP控制台默认的帐号和密码：admin/admin。测试预期：登陆成功，则证明存在漏洞。B.2.3.8测试用例七普元当信息收集结果或送测方资产信息为“普元”时，对“普元”容器进行默认口令测试：“普元”管理控制台URL：http://www.XXX.com/eosmgr/。“普元”管理控制台默认的帐号和密码：sysadmin/000000。测试预期：登陆成功，则证明存在漏洞。B.2.4容器敏感信息泄露测试B.2.4.1测试前置当信息收集发现存在对应容器时进行容器敏感信息泄露测试。B.2.4.2测试用例一使用dirsearch对web目录进行扫描，查看是否存在tomcat样例、apachestatus等页面。测试预期：扫描结果中发现存在tomcat样例、apachestatus等页面。B.2.4.3测试用例二使用浏览器或Yakit对web应用进行请求，查看响应包中是否存在Server头部字段。测试预期：响应包中存在Server头部字段，且其中存在中间件等版本信息。B.2.4.4测试用例三在功能参数交互的地方尝试构造一些系统非预期的参数进行提交，查看响应包中是否存在报错带出的敏感信息等。测试预期：响应包中存在报错带出的敏感信息等。T/CCUA053-2025B.2.4.5测试用例四使用浏览器或Yakit进行正常功能请求，关注正常功能交互中收到响应包里面是否会有一些额外的泄漏信息。测试预期：正常功能交互中收到响应包存在额外的泄漏信息。B.2.4.6测试用例五尝试越权或者未授权的方式进行web请求，查看响应包中是否存在敏感信息泄露。测试预期：响应包中存在敏感信息泄露。B.2.4.7测试用例六使用Yakit工具进行抓包，把post方法改成options方法，查看服务器里是否报错显示中间件版本信息。测试预期：服务器报错显示中间件版本信息。B.2.4.8测试用例七使用Yakit工具进行抓包，或者在请求头插入垃圾数据，请求体写入垃圾数据，如：test_http_method等随机构造的垃圾字段进行拼接，从而导致服务器报错，然后查看服务器里是否报错显示中间件版本信测试预期：服务器报错显示中间件版本信息。B.2.4.9测试用例八使用Yakit工具进行抓包，进行正常请求，请求后根据响应码对响应包进行筛选，针对4XX及5XX结合各不同框架和中间件报错的关键词，快速查找，查看是否存在敏感信息泄露。测试预期：响应包中存在敏感信息泄露。B.2.4.10测试用例九使用dirsearch对web目录进行扫描，查看是否存在springenvheapdumpthreatdump/swaggeruieurekaDruid接口等页面。测试预期：扫描结果中发现存在springenvheapdumpthreatdump、swaggeruieurekaDruid等页面。并存在敏感信息泄露情况。B.2.4.11测试用例十扫描结果中出现/api/swagger-ui.html接口，如果能访问成功发现信息泄漏，证明存在swagger敏感信息泄露。T/CCUA053-2025图63Swagger敏感信息泄露图图64Swagger敏感信息泄露图B.2.4.12测试用例十一扫描结果中出现/druid/index.html接口，如果能成功访问表明存在druid信息泄露。T/CCUA053-2025图65Druid敏感信息泄露漏洞测试图B.2.4.13测试用例十二spring接口扫描结果中出现/env接口，访问/env接口可以在页面搜索Eureka判断是否使用该组件。图66Spring接口扫描组件信息泄露漏洞测试图B.2.4.14测试用例十三SpringBootActuator模块提供了健康检查,审计,指标收集，HTTP跟踪等，是帮助我们监控和管理SpringBoot应用的模块。如果Actuator使用，可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点，heapdump因未授权访问被恶意人员获取后进行分析可进一步获取敏感信息。默认情况下所有Web端点都在/actuator目录下。T/CCUA053-2025图67SpringBootActuatorWeb站点信息泄露漏洞测试图/actuator/env包含被脱敏的数据库用户名与密码与redis数据库密码等信息。图68SpringBootActuator用户名密码泄露漏洞测试图访问/actuator/heapdump可以下载堆转储文件，使用安装JDK自带的JVisualVM工具，对HeapDump进行分析可获取敏感系统配置文件。图69SpringBootActuator敏感系统配置文件泄露漏洞测试图（a）T/CCUA053-2025图70SpringBootActuator敏感系统配置文件泄露漏洞测试图（b）图71SpringBootActuator敏感系统配置文件泄露漏洞测试图（c）B.3.Web应用组件测试B.3.1shiro常见漏洞测试B.3.1.1测试前置当信息收集匹配到shiro框架时，或者通过查看响应包，Cookie中包含rememberMe=deleteMe时对该路径进行测试。T/CCUA053-2025图72Shiro框架匹配图B.3.1.2测试用例一若使用了shiro框架，使用java-jarshiro_tool.jar尝试获取key。测试预期:成功发现key并执行命令，如下图。图73Shiro漏洞利用工具测试图T/CCUA053-2025图74Shiro漏洞利用工具命令执行图B.3.1.3测试用例二shiro反序列化漏洞检测。使用yakit->手工渗透测试->MITM->点亮Shiro指纹识别->正常访问网站即可。图75YakitShiro反序列化漏洞测试图测试预期:能成功识别shiro指纹并且爆破shirokey值。T/CCUA053-2025B.3.2struts2常见漏洞测试B.3.2.1测试前置当信息收集匹配到struts2框架时，或者URL中存在.action或.do时对该路径进行测试。B.3.2.2测试用例一使用struts2漏洞检测工具进行漏扫检测，输入目标url，工具会自动扫描目标站点是否存在struts2漏洞。图76Struts2检测工具漏洞扫描测试图测试预期：选择扫描到的漏洞编号，输入命令，点击执行，即可执行命令，若返回预期的命令执行结果，则证明存在漏洞。T/CCUA053-2025图77Struts2检测工具漏洞利用图B.3.2.3测试用例二struts2漏洞批量测试。使用yakit->专项漏洞检测->struts输入url并开始检测。T/CCUA053-2025图78YakitStruts2漏洞批量测试入口图测试预期：如显示执行完毕的时间，如果出现HIT字样说明存在对应的漏洞。B.3.3fastjson常见漏洞测试B.3.3.1测试前置当信息收集匹配到fastjson组件时，或者手工发现后端为java并且发送json数据时对该路径进行测试。B.3.3.2测试用例一1)访问待测URL：，通过抓包工具代理流量并开启被动扫描，FastJsonScan插件会自图79Fastjson漏洞利用工具生成PayLoad图测试预期：dnslog平台是否接收到dns请求记录，如果收到，则证明存在漏洞。T/CCUA053-2025图80Fastjson漏洞测试—PayLoad重发图图81Fastjson漏洞测试—Dnslog请求记录图B.3.3.3测试用例二使用yakit->手工渗透测试->MITM->点亮FastJSON漏洞检测->正常访问网站即可。T/CCUA053-2025图82YakitFastjson反序列化漏洞测试入口图预期结果：右上角有高危/严重提醒点击可B.3.4Apachespring常见漏洞测试B.3.4.1测试前置当信息收集匹配到apachespring框架时，或者通过网页左上角的小树叶标签，和特有的报错页面识别到apachespring框架时对网站的根路径进行测试。T/CCUA053-2025图83Spring框架网站Web页图B.3.4.2测试用例一使用漏洞利用脚本cve-2018-1273_cmd.py执行命令。测试预期：如图84所示已成功执行ping命令，则证明存在漏洞。图84Spring漏洞检测脚本测试图B.3.4.3测试用例二使用yakit->专项漏洞检测->Spring输入url并开始检测。图85YakitSpring漏洞批量测试图B.3.5Log4j常见漏洞测试T/CCUA053-2025B.3.5.1测试前置当信息收集识别到后端语言为java时对所有路径进行测试。B.3.5.2测试用例一在输入框等可进行数据交互处提交payload，如在输出框中输入payload并submit：${jndi:ldap:///exp}或${jndi:rmi:///1pscrv}。注：可能需要对payload进行变形以绕过安全防护。测试预期：可在dnslog平台看到dnslog记录，则证明存在漏洞。B.3.6jenkins常见漏洞测试B.3.6.1测试前置当信息收集识别到框架位jenkins时对应的漏洞进行测试。B.3.6.2测试用例一使用yakit->专项漏洞检测->jenkins输入url并开始检测。T/CCUA053-2025图86YakitJenkins漏洞批量测试入口图测试预期：如显示执行完毕的时间，如果出现HIT字样说明存在对应的漏洞。B.3.7elasticsearch常见漏洞测试B.3.7.1测试前置当信息收集识别到框架位elasticsearch时对应的漏洞进行测试。B.3.7.2测试用例一T/CCUA053-2025图87Yakitelasticsearch漏洞批量测试入口图测试预期：如显示执行完毕的时间，如果出现HIT字样说明存在对应的漏洞。B.4.配置以及部署管理测试B.4.1备份文件和未引用文件信息泄露测试B.4.1.1测试前置针对Web网站的根与应用的根路径进行测试。B.4.1.2测试用例一使用dirsearch扫描web目录，python3dirsearch.py-u。测试预期：打开扫描的结果，如果发现有敏感文件或目录，则证明存在漏洞。B.4.1.3测试用例二T/CCUA053-2025使用dirscan进行扫描python3dirscan.py-u。测试预期：打开扫描的结果，如果发现有敏感文件或目录，则证明存在漏洞。B.4.1.4测试用例三网页浏览源码，查找网页源码。测试预期：如果源码中存在备份文件等未引用文件的路径信息，则证明存在漏洞。B.4.1.5测试用例四如扫描过程发现服务器存在.svn隐藏文件，使用SvnHack工具进行源码重建，使用命令（调整至用例下）：pythonSvnHack.py-uhttp://x.x.x.x/.svn/entries下载根目录，或者使用：pythonSvnHack.py-uhttp://x.x.x.x/.svn/entries—download下载整站，检查下载内容是否有敏感信息。测试预期：如果发现有敏感信息泄露，则证明存在漏洞。B.4.1.6测试用例五如扫描过程发现服务器存在.git隐藏文件，使用GitHack工具进行源码重建，使用命令：pythonGitHack.py/.git/，还原后的文件在dist/目录下，检查还原的文件是否有敏感信息。测试预期：如果发现有敏感信息泄露，则证明存在漏洞。B.4.1.7测试用例六使用yakit->基础安全工具->综合目录扫描与爆破Web目录爆破：敏感中间件进行测试git代码泄T/CCUA053-2025图88Yakit插件检测git代码泄露入口图B.4.1.8测试用例七如存在goroutine，执行gotoolpprof-inuse_spacehttp://XXXXXX/debug/pprof/heap进入交互模式，可以使用list命令查看源代码中哪一行分配的函数最多，可以使用以下命令直接导出调用图，“gotoolpprof-inuse_space-png:18080/debug/pprof/heap>heap.png”。测试预期：若可以在程序运行一段时间后，程序出现内存泄露，或者查看内存占用分析图，存在两张图中内存占用比例相差很大的函数，则存在信息泄露漏洞。B.4.1.9测试用例八利用pprof定位goroutine。pprof是Go的性能分析工具，在程序运行过程中，可以记录程序的运行信息，可以是CPU使用情况、内存使用情况、goroutine运行情况等。可以通过信息泄漏发现存活的协程总个数。T/CCUA053-2025图89pprof发现存活协程数量图获取泄漏的heap信息。图90pprof获取泄露heap信息图利用pprof发现Go目标服务器的内存泄漏。图91pprof发现Go目标服务器内存泄露图T/CCUA053-2025图92pprof发现Go目标服务器内存泄露图B.4.2WEB应用敏感信息发现测试B.4.2.1测试前置针对Web网站的所有路径进行测试。B.4.2.2测试用例一通过Chrome查看源代码中是否存在内网IP、SQL语句、密码、物理路径等敏感信息。测试预期：发现内网IP、SQL语句、密码、物理路径等敏感信息。图93Chrome查看源代码发现敏感信息图（a）图94Chrome查看源代码发现敏感信息图（b）B.4.2.3测试用例二通过PackerFuzzer脚本爬取Webpack源码信息，pythonPackerFuzzer.py-u。测试预期：该工具会自动生成docx,如下图所示。T/CCUA053-2025图95PackerFuzzer脚本生成源码检测报告图B.4.2.4测试用例三通过xray开启被动扫描敏感信息检测配置，检测页面中是否包含用户信息、银行卡、身份证、内网地址等敏感信息命令xraywebscan--listen:4444--html-output1.html。测试预期：发现用户信息、银行卡、身份证、内网地址等敏感信息。图96Xray被动扫描敏感信息检测图B.4.2.5测试用例四抓包获取页面返回信息，查看是否为该业务所需的最小信息集，是否存在多余的信息返回。例如查看个人信息功能的json数据返回中，包含除本用户个人信息以外其他用户的信息。测试预期：发现多于预期的用户信息、银行卡、身份证、内网地址等敏感信息。B.4.2.6测试用例五使用yakit->手工渗透测试->MITM->点亮敏感信息获取->正常访问网站即可。T/CCUA053-2025图97Yakit敏感信息获取入口图测试预期：插件输出以及漏洞与风险处会输出匹配到的敏感信息。B.4.3功能目录和管理界面枚举测试B.4.3.1测试前置针对Web网站的所有路径进行测试。B.4.3.2测试用例一待测URL可以访问，形如，使用dirsearch进行扫描。python3dirsearch.py–u。测试预期：手工打开扫描的结果，如果发现存在对外暴露的管理接口和未授权访问的管理功能，则证明存在漏洞。T/CCUA053-2025B.4.3.3测试用例二打开御剑工具扫描web目录，输入待测URL形如，根据web应用所使用的脚本类型勾选对应的测试字典，点击开始扫描。图98御剑工具扫描web目录图测试预期：手工打开扫描的结果，如果发现存在对外暴露的管理接口和未授权访问的管理功能，则证明存在漏洞。B.4.3.4测试用例三访问网站robots.txt文件，路径为/robots.txt，如果网站存在robots.txt文件，可在robots.txt文件中发现敏感目录，尝试访问。测试预期：如果发现存在对外暴露的管理接口和未授权访问的管理功能，则证明存在漏洞。T/CCUA053-2025图99访问网站robots.txt文件图B.4.3.5测试用例四通过jsfinder使用命令pythonJSFinder.py-u或手工的方式查看所有能访问到的页面中的js文件，查找隐藏在js文件中的功能接口或者目录，访问目录。测试预期：如果发现存在对外暴露的管理接口和未授权访问的管理功能，则证明存在漏洞。B.4.3.6测试用例五2)填写url和路径字典点击开始执行。T/CCUA053-2025图100Yakit插件目录爆破入口图预期输出：显示出爆破出来的路径树信息。B.4.4目录列出测试B.4.4.1测试前置针对Web网站的所有目录进行测试。B.4.4.2测试用例一使用dirsearch扫描web目录：python3dirsearch.py—u，浏览扫描得到的web路径如果存在目录泄露，则证明存在漏洞。测试预期：如果存在目录泄露，则证明存在漏洞。B.4.4.3测试用例二T/CCUA053-2025图101Yakit目录列出漏洞测试—上传字典图T/CCUA053-2025图102Yakit目录列出漏洞测试—设置字典名字图T/CCUA053-2025图103Yakit目录列出漏洞测试—复制Fuzz标签图T/CCUA053-2025图104Yakit目录列出漏洞测试—创建WebFuzz图T/CCUA053-2025图105Yakit目录列出漏洞测试—发送数据包图T/CCUA053-2025图106Yakit目录列出漏洞测试—查看详细报文图测试预期：使用payload，可以成功发包。B.4.5Cookie敏感信息泄露测试B.4.5.1测试前置存在Cookie的web服务，对所有接口进行测试。B.4.5.2测试用例一使用抓包工具抓取数据包，查验Cookie字段是否包含登录用户名密码、资源池名称和地址、内网IP等敏感信息。测试预期：如果Cookie字段存在是否包含登录用户名密码、资源池名称和地址、内网IP，则证明存在漏洞。B.4.5.3测试用例二使用抓包工具抓取数据包，搜索流量包Set-Cookie或Cookie字段是否包含shirocookie关键字。T/CCUA053-2025图107搜索流量包Cookie字段关键字图测试预期：如果字段存在IP，则证明存在漏洞，如果ip信息加密，使用quickCook脚本工具进行cookie信息解密，如果获得内网IP，则证明存在漏洞。图108Cookie敏感信息泄露漏洞测试结果图B.4.5.4测试用例三使用Yakit抓包、浏览器直接访问等方式，查看用户敏感信息，如姓名、身份证号码、手机号等。查看响应包中是否明文显示上述重要信息。T/CCUA053-2025图109浏览器查看用户敏感信息明文显示图图110Yakit抓包查看用户敏感信息明文显示图测试预期：如果响应包中姓名、身份证、手机号等敏感信息以明文方式显示，则存在漏洞。B.4.6HTTP不安全方法测试B.4.6.1测试前置对Web网站的主要业务接口进行测试。B.4.6.2测试用例一使nmap命令如下：nmap