WAF API安全测试系统

基于《WAF-API安全测试方案》的完整测试平台

0
总测试数
0
成功
0
失败
0ms
平均响应时间
循环状态

1.1 JSON格式测试

测试WAF对不同JSON格式的解析能力

基础JSON

测试基础JSON格式的敏感数据检出

深层嵌套JSON

测试多层嵌套结构中的敏感数据检出

JSON数组

测试数组格式中的敏感数据检出

带注释JSON

测试非标准JSON注释的宽松解析

1.2 XML格式测试

测试WAF对XML格式的解析和安全检测能力

标准XML

测试标准XML格式的敏感数据检出

CDATA包裹

测试CDATA节点内容的敏感数据检出

XML命名空间

测试命名空间XML的敏感数据检出

XML属性

测试XML属性值中的敏感数据检出

XXE攻击检测

测试XXE攻击载荷的安全检测

1.3 表单格式测试

测试WAF对表单数据格式的解析能力

URL编码表单

测试application/x-www-form-urlencoded格式

Multipart表单

测试multipart/form-data格式

1.4 GraphQL支持测试

测试WAF对GraphQL协议的解析和敏感数据检测能力

GraphQL Query

测试GraphQL查询请求的敏感数据检出

GraphQL批量查询

测试批量GraphQL查询的敏感数据检出

GraphQL Introspection

测试Schema查询的安全检测

GraphQL深层查询

测试深层嵌套GraphQL查询

1.5 Content-Type处理测试

测试WAF对Content-Type头的处理和格式自动识别能力

Content-Type缺失

测试无Content-Type头时的格式自动探测

Content-Type不匹配

测试声明与实际格式不符的智能识别

Content-Type带charset

测试带字符集的Content-Type解析

非标准Content-Type

测试自定义/扩展Content-Type的处理

0
总测试数
0
成功
0
失败
0ms
平均响应时间
循环状态

2.1 业务用途分类测试 阿里云标签体系

测试WAF对API业务用途的自动识别能力

账号密码登录 用户认证类

路径含login + 参数含username/password

手机验证码登录 用户认证类

路径含login + 参数含phone/code

OAuth认证 用户认证类

路径含oauth + 参数含grant_type

SSO认证 用户认证类

路径含sso + 参数含ticket

注销登录 用户认证类

路径含logout/signout

账号密码注册 用户注册类

路径含register + 参数含username/password

手机验证码注册 用户注册类

路径含register + 参数含phone/code

数据查询 数据操作类

GET方法 + 分页参数

数据上传 数据操作类

路径含upload + multipart请求

数据下载 数据操作类

路径含export/download

数据更新 数据操作类

PUT/PATCH方法

数据删除 数据操作类

DELETE方法

订单查询 订单管理类

路径含order + GET方法

订单支付 订单管理类

路径含pay + 参数含amount

2.2 服务对象分类测试

测试WAF对API服务对象的识别能力

内部办公API 高敏感

面向内部员工的API,包含配置信息

三方合作API 中敏感

面向生态合作伙伴的API

公共服务API 低敏感

面向互联网公开的API

2.3 影子API检测测试

测试WAF对未文档化、废弃、测试遗留API的检测能力

调试API 高风险

未文档化的内部调试接口

测试遗留API 中风险

测试环境遗留的API接口

废弃版本API 中风险

已废弃但未下线的老版本API

Beta功能API 低风险

隐藏的Beta测试功能接口

2.4 敏感等级分类测试 阿里云S1-S4标准

测试WAF对接口敏感等级的自动判定能力

高敏感接口 S4级

包含S3级敏感数据(身份证、银行卡、密钥)

中敏感接口 S2级

包含S2级敏感数据(姓名、邮箱、地址)

批量敏感数据 S4级(批量)

单次返回超过20条S2级数据

低敏感接口 S1级

包含S1级敏感数据(省份、城市、性别)

2.5 鉴权方式识别测试

测试WAF对不同鉴权方式的识别和安全检测能力

Basic认证 低安全

Authorization: Basic + Base64编码

Bearer Token 中安全

Authorization: Bearer + JWT/OAuth2

API Key Header 中安全

X-API-Key Header认证

API Key Query 低安全

URL参数中的API Key(泄露风险)

无认证API 高风险

敏感接口缺乏认证保护

Session Cookie 中安全

JSESSIONID/PHPSESSID Cookie认证

HMAC签名认证 高安全

基于HMAC-SHA256的请求签名认证

waf@2025$$$
0
总测试数
0
成功
0
失败
0%
完成率
循环状态

3.1 身份信息类(S3级别 - 高敏感)

身份证(18位)S3

中国内地18位身份证号码

身份证(X结尾)S3

X作为校验码的身份证

香港身份证 S3

香港特别行政区身份证

马来西亚身份证 S3

MyKad身份证号码

新加坡身份证 S3

NRIC身份证号码

美国SSN S3

社会安全号码

护照号 S3

中国护照号码

港澳通行证 S3

往来港澳通行证号码

军官证 S3

军人证件号码

印尼家庭卡(KK)S3

印度尼西亚家庭卡号

手机号 S3

中国11位手机号

手机号(分隔符)S3

138-1234-5678格式

手机号(国际)S3

+86国际格式

储蓄银行卡 S3

借记卡卡号

Visa信用卡 S3

Visa卡号

MasterCard信用卡 S3

万事达卡号

车牌号 S3

机动车车牌号

3.2 联系方式与位置类(S2级别 - 中敏感)

中文姓名 S2

中文真实姓名

英文姓名 S2

英文真实姓名

繁体中文姓名 S2

繁体字姓名

宗教信仰 S2

敏感个人信息

印尼智能卡(KIP)S2

印度尼西亚智能卡

邮箱地址 S2

电子邮件地址

中文地址 S2

详细居住地址

英文地址 S2

英文格式地址

固定电话 S2

座机电话号码

美国电话 S2

美国格式电话号码

IPv4地址 S2

IP地址v4格式

IPv6地址 S2

IP地址v6格式

MAC地址 S2

网卡物理地址

IMEI S2

移动设备识别码

MEID S2

移动设备识别码(CDMA)

URL链接 S1

网址链接

3.3 凭据与密钥类(S3级别 - 高敏感)

JDBC连接串 S3

数据库连接字符串

PEM证书 S3

X.509证书

RSA私钥 S3

RSA密钥对私钥

AWS AccessKey S3

AWS云服务密钥

阿里云AccessKey S3

阿里云服务密钥

OpenAI API Key S3

OpenAI服务密钥

OpenAI Project Key S3

OpenAI项目密钥

HuggingFace Key S3

HF模型服务密钥

GitHub Token S3

GitHub访问令牌

JWT Token S3

JSON Web Token

AWS SecretAccessKey S3

AWS密钥对私钥部分

阿里云AccessKeySecret S3

阿里云密钥对私钥部分

百炼API Key S3

阿里百炼平台密钥

Groq API Key S3

Groq AI平台密钥

PAI-EAS Token S3

PAI-EAS服务令牌

Linux Passwd文件 S3

/etc/passwd文件内容

Linux Shadow文件 S3

/etc/shadow文件内容

3.4 企业信息类(S2级别 - 中敏感)

营业执照号 S2

企业营业执照编号

统一社会信用代码 S2

18位统一代码

车辆识别码VIN S2

17位车辆VIN码

税务登记证号 S2

企业税务登记证编号

组织机构代码 S2

企业组织机构代码

3.5 低敏感信息类(S1级别 - 低敏感)

性别 S1

用户性别信息

民族 S1

民族信息

省份 S1

省级行政区

城市 S1

城市信息

日期 S1

日期时间信息

SWIFT Code S1

银行国际代码

3.6 接口敏感等级判定

单条身份证 S4

判定为高度敏感

单条手机号 S4

判定为高度敏感

单条邮箱 S2

判定为中度敏感

批量邮箱(25条)S4

超过20条阈值升级

单条省份 S1

判定为低敏感

无敏感数据

不包含敏感信息

0
总测试数
0
成功
0
失败
0%
完成率
循环状态

4.1 常见编码检测

Base64编码

身份证号Base64编码检测

URL编码

身份证号URL编码检测

双重URL编码

两次URL编码检测

UTF-7编码

UTF-7格式编码检测

Unicode编码

Unicode转义编码检测

Hex编码

十六进制编码检测

HTML实体编码

HTML实体格式检测

4.2 多层编码组合

Base64 + URL编码

先Base64再URL编码

双重Base64编码

两次Base64编码

Gzip + Base64编码

压缩后再编码

4.3 压缩格式检测

Gzip压缩

Gzip格式压缩检测

Deflate压缩

Deflate格式压缩检测

Brotli压缩

Brotli格式压缩检测

0
总测试数
0
检测成功
0
检测失败
0%
完成率
循环状态

5.1 权限类安全事件 风险等级:200

测试未授权访问、垂直越权、水平越权检测能力

未授权访问 not_authorization

测试缺少认证头的敏感资源访问

垂直越权 privilege_attack

普通用户尝试执行管理员操作

水平越权 horizontal_attack

用户访问其他用户的数据

5.2 数据类安全事件 风险等级:200

测试敏感数据传输检测能力

敏感数据传输 sensitive_attack

大量敏感数据批量传输

5.3 认证类安全事件 风险等级:100

测试登录凭证相关安全检测

登录凭证缺失 credential_*

登录请求缺失必要参数

5.4 滥用类安全事件

测试API滥用和资源消耗检测

高频调用 request_repeat

短时间内大量请求同一接口

短信刷取 brush_sms

高频发送短信验证码

验证码刷取 brush_captcha

高频获取验证码

5.5 异常访问检测 风险等级:200

测试地理位置、IP、UA异常检测

地理位置异常 city/country_abnormal

异常地区或跨境访问

IP异常 ip_abnormal

异常IP段访问

UA异常 ua_abnormal

异常User-Agent检测

5.6 攻击类安全事件 风险等级:300

测试暴力破解、撞库、恶意注册检测

暴力破解 credential_cracking

短时间内多次尝试登录

撞库攻击 credential_stuffing

使用相同密码尝试多个账号

恶意注册 reg_malicious

短时间内大量注册账号

5.7 注入类攻击检测 风险等级:300

测试SQL注入、XSS、XXE、命令注入等

SQL注入 sql

检测SQL注入攻击载荷

XSS攻击 xss

检测跨站脚本攻击

命令注入 cmd_inject

检测系统命令注入

XXE攻击 xxe

检测XML外部实体注入

LDAP注入 ldap

检测LDAP注入攻击

SSTI攻击 ssti

检测服务端模板注入

5.8 文件类攻击检测 风险等级:300

测试文件上传、文件读取、Webshell检测

文件上传攻击 upload

检测危险文件上传

文件读取攻击 file_read

检测敏感文件读取

Webshell检测 webshell

检测木马后门代码

5.9 其他安全检测 风险等级:300

测试SSRF、扫描器、协议异常等

SSRF攻击 SSRF

检测服务端请求伪造

恶意扫描 webscan

检测扫描器特征

未授权漏洞 backend

检测未授权访问漏洞

不合规协议 http_parse_error

检测HTTP协议异常

WEB应用漏洞 osc

检测常见Web漏洞