A05-A10 涵盖安全配置错误(A05)、过时组件(A06)、身份认证缺陷(A07)、完整性校验(A08)、SSRF(A10)——每类风险都对应特定的攻击面,需要针对性的测试方法。
| 类别 | 核心问题 | 银行场景 |
|---|---|---|
| A05 安全配置 | 默认密码、调试模式开启、CORS 配置宽松 | 测试环境配置泄露、第三方接口密钥硬编码 |
| A06 过时组件 | 已知漏洞的第三方库/框架/中间件 | Log4j 漏洞、Struts2 漏洞(银行系统常见) |
| A07 认证缺陷 | 弱密码、无 MFA、会话固定 | 网银/手机银行登录认证强度不足 |
| A08 完整性失效 | CI/CD 流水线未签名、更新包无校验 | 自动化部署管道缺少制品签名 |
| A10 SSRF | 服务端请求可被攻击者控制目标地址 | 云环境元数据服务暴露、内网端口扫描 |
操作:使用 OWASP Dependency-Check 扫描项目的所有依赖库
工具:OWASP Dependency-Check、Trivy、Snyk
指标:已知 CVE 数量、高危漏洞修复率、扫描覆盖率
操作:找到系统中所有服务端发起 HTTP 请求的功能(如头像拉取、Webhook),尝试将地址改为内网 IP
工具:SSRFmap、Burp Suite Collaborator
指标:SSRF 漏洞数、内网元数据服务可访问性
操作:尝试弱密码(admin/123456)、暴力破解登录(1000次/分钟)、会话 token 是否可预测
工具:Hydra、Burp Suite Intruder
指标:弱密码发现率、会话 token 熵值、MFA 覆盖率