Beranda>Sumber daya pembuatan situs web>Data situs web
Unduh

Daftar Periksa Pentesting Aplikasi Web

Daftar Periksa Berdasarkan Owasp ??

500+ kasus uji

Tautan Gagasan: https://hariprasaanth.notion.site/web-application-pentesting-checklist-0f02d8074b9d4af7b12b8da2d46ac998

  • Pengumpulan informasi

    Pengintaian Sumber Terbuka

    • Lakukan pencarian Google Dorks
    • Lakukan Osint

    Server web sidik jari

    • Temukan jenis server web
    • Temukan detail versi server web

    Mencari metafiles

    • Lihat file robots.txt
    • Lihat file sitemap.xml
    • Lihat file Humans.txt
    • Lihat file Security.txt

    Menghubungkan Aplikasi Server Web

    • Menghitung NMAP
    • Menghubungkan dengan NetCat
    • Lakukan pencarian DNS
    • Lakukan pencarian DNS terbalik

    Tinjau Konten Web

    • Periksa sumber halaman untuk info sensitif
    • Coba temukan kode javascript sensitif
    • Cobalah menemukan kunci apapun
    • Pastikan AutoComplete dinonaktifkan

    Mengidentifikasi titik masuk aplikasi

    • Identifikasi apa metode yang digunakan?
    • Identifikasi di mana metode yang digunakan?
    • Identifikasi titik suntikan

    PEMAPAN EKSEKUSI Jalur

    • Gunakan Burp Suite
    • Gunakan Dirsearch
    • Gunakan Gobuster

    Kerangka kerja aplikasi web sidik jari

    • Gunakan ekstensi browser wappalyzer
    • Gunakan Whatweb
    • Lihat ekstensi URL
    • Lihat Kode Sumber HTML
    • Lihat parameter cookie
    • Lihat header HTTP

    Peta Arsitektur Aplikasi

    • Peta keseluruhan struktur situs

  • Pengujian Manajemen Konfigurasi & Penempatan

    Uji konfigurasi jaringan

    • Periksa konfigurasi jaringan
    • Periksa pengaturan default
    • Periksa kredensial default

    Uji konfigurasi aplikasi

    • Pastikan hanya modul yang diperlukan digunakan
    • Pastikan modul yang tidak diinginkan dinonaktifkan
    • Pastikan server dapat menangani DOS
    • Periksa bagaimana aplikasi menangani kesalahan 4xx & 5xx
    • Periksa hak istimewa yang diperlukan untuk menjalankan
    • Periksa log untuk info sensitif

    Uji penanganan ekstensi file

    • Pastikan server tidak akan mengembalikan ekstensi sensitif
    • Pastikan server tidak akan menerima ekstensi berbahaya
    • Uji kerentanan unggahan file

    Tinjau file cadangan & tidak direferensikan

    • Pastikan file yang tidak direferensikan tidak mengandung info sensitif apa pun
    • Pastikan penamaan file cadangan lama dan baru
    • Periksa fungsionalitas halaman yang tidak direferensikan

    Hitung Infrastruktur & Antarmuka Admin

    • Cobalah untuk menemukan antarmuka infrastruktur
    • Cobalah untuk menemukan antarmuka admin
    • Identifikasi fungsionalitas admin tersembunyi

    Menguji metode HTTP

    • Temukan metode yang didukung
    • Pastikan metode put telah dinonaktifkan
    • Pastikan metode opsi dinonaktifkan
    • Bypass Kontrol Akses Uji
    • Tes untuk serangan XST
    • Tes untuk Metode HTTP yang utama

    Uji HSTS

    • Pastikan HST diaktifkan

    Menguji kebijakan domain silang ria

    • Periksa Kebijakan Domain Lintas Adobe
    • Pastikan itu memiliki hak istimewa paling sedikit

    Izin file uji

    • Pastikan izin untuk file sensitif
    • Tes untuk Pencacahan Direktori

    Tes untuk pengambilalihan subdomain

    • Tes DNS, A, dan Catatan CNAME untuk pengambilalihan subdomain
    • Uji catatan NS untuk pengambilalihan subdomain
    • Tes 404 Respons untuk pengambilalihan subdomain

    Uji penyimpanan cloud

    • Periksa jalur sensitif AWS
    • Periksa jalur sensitif Google Cloud
    • Periksa jalur sensitif Azure

  • Pengujian Manajemen Identitas

    Definisi peran tes

    • Tes untuk menjelajahi paksa
    • Tes untuk Idor (Referensi Objek Langsung Tidak Aman)
    • Tes untuk Parameter Tampering
    • Pastikan pengguna hak istimewa rendah tidak dapat mengakses sumber daya hak istimewa yang tinggi

    Uji proses pendaftaran pengguna

    • Pastikan pengguna atau identitas yang sama tidak dapat mendaftar lagi dan lagi
    • Pastikan pendaftaran diverifikasi
    • Pastikan alamat email sekali pakai ditolak
    • Periksa bukti apa yang diperlukan untuk pendaftaran yang berhasil

    Proses penyediaan akun uji

    • Periksa verifikasi untuk proses penyediaan
    • Periksa verifikasi untuk proses de-provisioning
    • Periksa hak penyediaan untuk pengguna admin ke pengguna lain
    • Periksa apakah seorang pengguna dapat mendebarkan diri mereka sendiri atau tidak?
    • Periksa sumber daya pengguna yang didepovisi

    Pengujian untuk Pencacahan Akun

    • Periksa respons saat nama pengguna dan kata sandi yang valid dimasukkan
    • Periksa respons saat nama pengguna yang valid dan kata sandi yang tidak valid dimasukkan
    • Periksa responsnya saat nama pengguna dan kata sandi yang tidak valid dimasukkan
    • Pastikan fungsionalitas pembatas laju diaktifkan di bidang nama pengguna dan kata sandi

    Tes untuk Kebijakan Nama Pengguna yang Lemah

    • Periksa respons untuk nama pengguna yang valid dan tidak valid
    • Periksa enumerasi nama pengguna

  • Pengujian Otentikasi

    Tes untuk saluran yang tidak terenkripsi

    • Periksa halaman login HTTP
    • Periksa daftar HTTP atau halaman masuk
    • Periksa halaman HTTP Lupa Kata Sandi
    • Periksa Kata Sandi Ubah HTTP
    • Periksa sumber daya di http setelah logout
    • Tes untuk menjelajahi paksa ke halaman HTTP

    Tes untuk kredensial default

    • Tes dengan kredensial default
    • Uji nama organisasi sebagai kredensial
    • Tes untuk manipulasi respons
    • Tes untuk nama pengguna default dan kata sandi kosong
    • Tinjau sumber halaman untuk kredensial

    Tes untuk mekanisme penguncian yang lemah

    • Pastikan akun telah dikunci setelah 3-5 upaya yang salah
    • Pastikan sistem hanya menerima captcha yang valid
    • Pastikan sistem menolak captcha yang tidak valid
    • Pastikan kode CAPTCHA beregenerasi setelah dimuat ulang
    • Pastikan captcha memuat ulang setelah memasukkan kode yang salah
    • Pastikan pengguna memiliki opsi pemulihan untuk akun penguncian

    Tes untuk melewati skema otentikasi

    • Uji browsing paksa langsung ke dasbor internal tanpa login
    • Tes untuk prediksi ID sesi
    • Tes untuk perusakan parameter otentikasi
    • Tes untuk injeksi SQL di halaman login
    • Tes untuk mendapatkan akses dengan bantuan ID sesi
    • Menguji beberapa login yang diizinkan atau tidak?

    Tes untuk Kata Sandi Ingat Rentan

    • Memastikan bahwa kata sandi yang disimpan dienkripsi
    • Pastikan bahwa kata sandi yang disimpan ada di sisi server

    Tes untuk kelemahan cache browser

    • Pastikan kontrol cache yang tepat diatur pada halaman sensitif
    • Pastikan tidak ada data sensitif yang disimpan di penyimpanan cache browser

    Tes untuk kebijakan kata sandi yang lemah

    • Pastikan kebijakan kata sandi diatur ke kuat
    • Periksa penggunaan kembali kata sandi
    • Periksa pengguna dicegah untuk menggunakan nama pengguna sebagai kata sandi
    • Periksa penggunaan kata sandi lemah umum
    • Periksa panjang kata sandi minimum yang akan diatur
    • Periksa panjang kata sandi maksimum yang akan diatur

    Menguji pertanyaan keamanan yang lemah

    • Periksa kompleksitas pertanyaan
    • Periksa forcing brute

    Tes untuk fungsi reset kata sandi lemah

    • Periksa informasi apa yang diperlukan untuk mengatur ulang kata sandi
    • Periksa fungsi reset kata sandi dengan http
    • Uji keacakan token reset kata sandi
    • Uji keunikan token reset kata sandi
    • Tes untuk tarif yang membatasi token reset kata sandi
    • Pastikan token harus kedaluwarsa setelah digunakan
    • Pastikan token harus kedaluwarsa setelah tidak digunakan untuk waktu yang lama

    Tes untuk fungsi perubahan kata sandi yang lemah

    • Periksa apakah kata sandi lama yang diminta untuk melakukan perubahan
    • Periksa keunikan kata sandi yang terlupakan
    • Periksa perubahan kata sandi kosong
    • Periksa fungsi perubahan kata sandi dengan http
    • Pastikan kata sandi lama tidak ditampilkan setelah diubah
    • Pastikan sesi lainnya hancur setelah perubahan kata sandi

    Tes untuk otentikasi lemah di saluran alternatif

    • Uji otentikasi pada browser desktop
    • Uji otentikasi pada browser seluler
    • Tes otentikasi di negara yang berbeda
    • Menguji otentikasi dalam bahasa yang berbeda
    • Otentikasi uji pada aplikasi desktop
    • Tes otentikasi pada aplikasi seluler

  • Pengujian Otorisasi

    File traversal direktori pengujian termasuk

    • Identifikasi titik suntikan pada URL
    • Tes untuk Inklusi File Lokal
    • Tes untuk inklusi file jarak jauh
    • Uji traversal pada parameter URL
    • Uji traversal pada parameter cookie

    Menguji traversal dengan pengkodean

    • Uji traversal dengan pengkodean base64
    • Uji traversal dengan pengkodean URL
    • Uji traversal dengan pengkodean ASCII
    • Uji traversal dengan pengkodean HTML
    • Uji traversal dengan pengkodean hex
    • Uji traversal dengan penyandian biner
    • Uji traversal dengan pengkodean oktal
    • Uji traversal dengan pengkodean GZIP

    Menguji travesal dengan skema OS yang berbeda

    • Uji traversal dengan skema UNIX
    • Uji traversal dengan skema Windows
    • Uji traversal dengan skema Mac

    Uji teknik penyandian lainnya

    • Uji traversal dengan pengkodean ganda
    • Uji traversal dengan semua karakter Encode
    • Uji traversal dengan hanya karakter khusus Encode

    Uji bypass skema otorisasi

    • Tes untuk bypass skema otorisasi horizontal
    • Tes untuk bypass skema otorisasi vertikal
    • Uji mengesampingkan target dengan header khusus

    Tes untuk Eskalasi Hak istimewa

    • Identifikasi titik suntikan
    • Tes untuk melewati langkah -langkah keamanan
    • Tes untuk menjelajahi paksa
    • Tes untuk idor
    • Tes untuk Parameter Tampering kepada Pengguna Privileged Tinggi

    Tes untuk Referensi Objek Langsung Tidak Aman

    • Tes untuk mengubah parameter ID
    • Tes untuk menambahkan parameter di titik akhir
    • Tes untuk polusi parameter HTTP
    • Menguji dengan menambahkan ekstensi di akhir
    • Uji dengan versi API yang sudah ketinggalan zaman
    • Tes dengan membungkus id dengan array
    • Tes dengan membungkus ID dengan objek JSON
    • Tes untuk polusi parameter JSON
    • Tes dengan mengubah case
    • Tes untuk jalur traversal
    • Tes dengan mengubah kata -kata
    • Tes dengan mengubah metode

  • Pengujian Manajemen Sesi

    Tes untuk skema manajemen sesi

    • Pastikan semua arahan set-kookie aman
    • Pastikan tidak ada operasi cookie yang dilakukan melalui saluran yang tidak terenkripsi
    • Pastikan cookie tidak dapat dipaksakan melalui saluran yang tidak terenkripsi
    • Pastikan bendera httponly diaktifkan
    • Periksa apakah ada cookie yang gigih
    • Periksa cookie sesi dan tanggal/waktu kedaluwarsa cookie
    • Periksa fiksasi sesi
    • Periksa login bersamaan
    • Periksa sesi setelah logout
    • Periksa sesi setelah menutup browser
    • Coba decoding cookie (base64, hex, url, dll)

    Tes untuk atribut cookie

    • Pastikan cookie harus diatur dengan atribut aman
    • Pastikan cookie harus disetel dengan atribut jalur
    • Pastikan cookie harus memiliki bendera httponly

    Tes untuk fiksasi sesi

    • Pastikan cookie baru telah dikeluarkan setelah otentikasi yang berhasil
    • Uji memanipulasi cookie

    Tes untuk variabel sesi yang terbuka

    • Tes untuk enkripsi
    • Tes untuk Get and Posting Kerentanan
    • Tes Jika mendapatkan permintaan yang menggabungkan ID sesi yang digunakan
    • Tes dengan pertukaran pos dengan metode get

    Tes untuk serangan penyegaran punggung

    • Tes setelah perubahan kata sandi
    • Tes setelah logout

    Uji Pemalsuan Permintaan Lintas Situs

    • Periksa apakah token divalidasi di sisi server atau tidak
    • Periksa apakah token divalidasi untuk panjang penuh atau sebagian
    • Periksa dengan membandingkan token CSRF untuk beberapa akun dummy
    • Periksa CSRF dengan pertukaran pos dengan metode get
    • Periksa CSRF dengan menghapus parameter token CSRF
    • Periksa CSRF dengan menghapus token CSRF dan menggunakan parameter kosong
    • Periksa CSRF dengan menggunakan token yang tidak digunakan
    • Periksa CSRF dengan mengganti token CSRF dengan nilainya sendiri
    • Periksa CSRF dengan mengubah jenis konten menjadi Form-Multipart
    • Periksa CSRF dengan mengubah atau menghapus beberapa karakter token CSRF
    • Periksa CSRF dengan mengubah pengirim ke rujukan
    • Periksa CSRF dengan mengubah nilai host
    • Periksa CSRF bersama clickjacking

    Tes untuk fungsi logout

    • Periksa fungsi log out pada halaman yang berbeda
    • Periksa visibilitas tombol logout
    • Pastikan setelah logout sesi berakhir
    • Pastikan setelah logout kami tidak dapat mengakses dasbor dengan menekan tombol kembali
    • Pastikan Timeout Sesi yang tepat telah ditetapkan

    Tes untuk waktu tunggu sesi

    • Pastikan ada batas waktu sesi
    • Pastikan setelah batas waktu, semua token dihancurkan

    Tes untuk sesi membingungkan

    • Identifikasi semua variabel sesi
    • Cobalah untuk memecahkan aliran logis generasi sesi

    Tes untuk pembajakan sesi

    • Pembajakan sesi tes pada target yang tidak diaktifkan HST
    • Tes dengan login dengan bantuan cookie yang ditangkap

  • Pengujian validasi input

    Tes untuk scripting situs silang yang dipantulkan

    • Pastikan karakter ini difilter <> '' & ""
    • Uji dengan Urutan Escape Karakter
    • Tes dengan mengganti <nr> dengan entitas HTML <dan>
    • Uji muatan dengan huruf kecil dan atas
    • Tes untuk memecahkan firewall regex dengan baris baru /r /n
    • Uji dengan pengkodean ganda
    • Tes dengan filter rekursif
    • Tes menyuntikkan tag jangkar tanpa whitespace
    • Tes dengan mengganti whitespace dengan peluru
    • Tes dengan mengubah metode HTTP

    Tes untuk skrip situs silang yang tersimpan

    • Identifikasi parameter input tersimpan yang akan mencerminkan sisi klien
    • Cari parameter input di halaman profil
    • Cari parameter input di halaman keranjang belanja
    • Cari parameter input pada halaman Upload File
    • Cari parameter input di halaman Pengaturan
    • Cari parameter input di forum, halaman komentar
    • Tes Mengunggah file dengan muatan XSS sebagai nama file
    • Tes dengan tag HTML

    Tes untuk polusi parameter HTTP

    • Identifikasi server backend dan metode parsing yang digunakan
    • Cobalah untuk mengakses titik suntikan
    • Cobalah untuk memotong filter input menggunakan polusi parameter HTTP

    Tes untuk injeksi SQL

    • Uji injeksi SQL pada formulir otentikasi
    • Uji injeksi SQL di bilah pencarian
    • Uji injeksi SQL tentang karakteristik yang dapat diedit
    • Coba temukan kata kunci SQL atau deteksi titik masuk
    • Cobalah untuk menyuntikkan kueri SQL
    • Gunakan alat seperti SQLMAP atau Hackbar
    • Gunakan Google Dorks untuk menemukan kata kunci SQL
    • Coba dapatkan injeksi SQL berbasis
    • Coba injeksi SQL berbasis pasca
    • Coba injeksi SQL berbasis cookie
    • Coba injeksi SQL berbasis header
    • Coba SQL Injection dengan null byte sebelum permintaan SQL
    • Cobalah injeksi SQL dengan pengkodean URL
    • Cobalah injeksi SQL dengan kasus bawah dan atas
    • Coba SQL Injection dengan SQL Tamper Scripts
    • Coba SQL Injection dengan SQL Time Delay Payloads
    • Cobalah injeksi SQL dengan penundaan bersyarat SQL
    • Coba SQL Injection dengan SQL Berbasis Boolean
    • Coba SQL Injection dengan SQL Berbasis Waktu

    Tes untuk injeksi LDAP

    • Gunakan filter pencarian LDAP
    • Coba injeksi LDAP untuk bypass kontrol akses

    Pengujian untuk injeksi XML

    • Periksa apakah aplikasi menggunakan XML untuk diproses
    • Identifikasi Titik Injeksi XML oleh XML Metacharacter
    • Bangun muatan XSS di atas XML

    Tes untuk sisi server termasuk

    • Gunakan Google Dorks untuk menemukan SSI
    • Bangun RCE di atas SSI
    • Bangun suntikan lain di atas SSI
    • Uji suntikan SSI pada halaman login, bidang header, pengirim, dll

    Tes untuk Injeksi XPath

    • Identifikasi titik injeksi xpath
    • Tes untuk Injeksi XPath

    Tes untuk injeksi IMAP SMTP

    • Identifikasi titik injeksi IMAP SMTP
    • Memahami aliran data
    • Memahami struktur penyebaran sistem
    • Nilai dampak injeksi

    Tes untuk Inklusi File Lokal

    • Cari kata kunci LFI
    • Cobalah untuk mengubah jalur lokal
    • Gunakan daftar muatan LFI
    • Uji LFI dengan menambahkan byte nol di akhir

    Tes untuk inklusi file jarak jauh

    • Cari kata kunci RFI
    • Cobalah untuk mengubah jalur jarak jauh
    • Gunakan daftar muatan RFI

    Tes untuk injeksi perintah

    • Identifikasi titik suntikan
    • Cari kata kunci injeksi perintah
    • Injeksi perintah uji menggunakan pembatas yang berbeda
    • Injeksi perintah uji dengan daftar muatan
    • Injeksi perintah uji dengan perintah OS yang berbeda

    Tes untuk injeksi string format

    • Identifikasi titik suntikan
    • Gunakan parameter format yang berbeda sebagai muatan
    • Nilai dampak injeksi

    Tes untuk injeksi header host

    • Tes untuk HHI dengan mengubah parameter host nyata
    • Tes untuk HHI dengan menambahkan parameter host X-Forwarded
    • Tes untuk HHI dengan menukar host nyata dan parameter host X-Forwarded
    • Tes untuk HHI dengan menambahkan dua parameter host
    • Tes untuk HHI dengan menambahkan nilai target di depan nilai asli
    • Tes untuk HHI dengan menambahkan target dengan tebasan setelah nilai asli
    • Tes untuk HHI dengan suntikan lain pada parameter host
    • Tes untuk HHI dengan Kata Sandi Reset Keracunan

    Tes untuk pemalsuan permintaan sisi server

    • Cari kata kunci SSRF
    • Cari kata kunci SSRF hanya di bawah header dan tubuh permintaan
    • Identifikasi titik suntikan
    • Menguji jika titik injeksi dapat dieksploitasi
    • Nilai dampak injeksi

    Tes untuk injeksi template sisi server

    • Identifikasi titik kerentanan injeksi template
    • Identifikasi mesin templating
    • Gunakan TPLMAP untuk dieksploitasi

  • Pengujian Penanganan Kesalahan

    Tes untuk penanganan kesalahan yang tidak tepat

    • Identifikasi output kesalahan
    • Menganalisis output yang berbeda dikembalikan
    • Cari kesalahan penanganan kesalahan umum
    • Penanganan kesalahan uji dengan memodifikasi parameter URL
    • Penanganan kesalahan uji dengan mengunggah format file yang tidak diakui
    • Penanganan kesalahan uji dengan memasukkan input yang tidak diakui
    • Penanganan kesalahan uji dengan membuat semua kesalahan yang mungkin terjadi

  • Pengujian kriptografi yang lemah

    Tes untuk keamanan lapisan transportasi yang lemah

    • Uji kelemahan tenggelam pada protokol SSLV2
    • Tes untuk kelemahan pudel pada protokol SSLV3
    • Tes untuk kelemahan binatang pada protokol TLSV1.0
    • Tes untuk kelemahan aneh pada Ekspor Cipher Suites
    • Tes untuk cipher nol
    • Tes untuk kelemahan nomore pada RC4
    • Tes untuk Lucky 13 kelemahan pada cipher mode CBC
    • Tes kelemahan kejahatan pada kompresi TLS
    • Uji Logjam di DHE Keys
    • Pastikan sertifikat digital harus memiliki setidaknya 2048 bit panjang kunci
    • Pastikan sertifikat digital harus memiliki setidaknya algoritma tanda tangan SHA-256
    • Pastikan sertifikat digital tidak boleh menggunakan MDF dan SHA-1
    • Pastikan validitas sertifikat digital
    • Pastikan persyaratan panjang kunci minimum
    • Cari suite cipher yang lemah

  • Pengujian Logika Bisnis

    Tes untuk Logika Bisnis

    • Identifikasi logika cara kerja aplikasi
    • Identifikasi fungsionalitas semua tombol
    • Menguji dengan mengubah nilai numerik menjadi nilai tinggi atau negatif
    • Tes dengan mengubah kuantitas
    • Menguji dengan memodifikasi pembayaran
    • Tes untuk Parameter Tampering

    Uji unggahan file berbahaya

    • Uji unggah file berbahaya dengan mengunggah file jahat
    • Uji Unggah File berbahaya dengan meletakkan alamat IP Anda di nama file
    • Uji unggah file berbahaya dengan override kanan ke kiri
    • Uji unggahan file berbahaya dengan nama file yang dikodekan
    • Uji unggah file jahat dengan payload XSS pada nama file
    • Uji unggahan file jahat dengan payload RCE pada nama file
    • Uji unggah file jahat dengan payload LFI pada nama file
    • Uji unggah file jahat dengan payload RFI pada nama file
    • Uji Unggah File Berbahaya dengan SQL Payload pada Nama File
    • Uji unggah file berbahaya dengan suntikan lain pada nama file
    • Uji Unggah File berbahaya dengan memasukkan muatan di dalam gambar dengan alat BMP.PL
    • Uji unggahan file berbahaya dengan mengunggah file besar (mengarah ke DOS)

  • Pengujian Sisi Klien

    Tes untuk scripting situs lintas berbasis DOM

    • Cobalah mengidentifikasi dom sinks
    • Bangun payload untuk jenis dom wastafel itu

    Tes untuk pengalihan URL

    • Cari parameter pengalihan URL
    • Tes untuk pengalihan URL pada parameter domain
    • Tes untuk pengalihan URL dengan menggunakan daftar muatan
    • Tes untuk pengalihan URL dengan menggunakan kata putih di akhir
    • Uji pengalihan URL dengan membuat subdomain baru dengan hal yang sama dengan target
    • Tes untuk pengalihan URL oleh XSS
    • Tes untuk pengalihan URL dengan cacat URL profil

    Tes untuk berbagi sumber daya silang

    • Cari "Access-Control-Allow-Origin" pada respons
    • Gunakan kode eksploitasi HTML CORS untuk eksploitasi lebih lanjut

    Uji untuk clickjacking

    • Pastikan header “opsi X-frame” diaktifkan
    • Eksploitasi dengan kode HTML iframe untuk POC

  • Masalah umum lainnya

    Tes untuk pembatasan no-rate

    • Pastikan pembatasan tingkat diaktifkan
    • Cobalah untuk bypass rate yang membatasi dengan mengubah kasus titik akhir
    • Cobalah untuk bypass rate yang membatasi dengan menambahkan / di akhir URL
    • Cobalah untuk bypass rate yang membatasi dengan menambahkan header HTTP
    • Cobalah untuk bypass rate terbatas dengan menambahkan header http dua kali
    • Cobalah untuk bypass rate yang membatasi dengan menambahkan header asal
    • Cobalah untuk bypass rate yang dibatasi dengan rotasi IP
    • Cobalah untuk bypass rate terbatas dengan menggunakan byte nol di akhir
    • Cobalah untuk bypass rate terbatas dengan menggunakan kondisi balapan

    Tes untuk exif geodata

    • Pastikan Situs Web itu melepas geodata
    • Tes dengan Exif Checker

    Tes untuk pembajakan tautan rusak

    • Pastikan tidak ada tautan rusak
    • Uji tautan yang rusak dengan menggunakan alat BLC

    Tes untuk SPF

    • Pastikan situs web memiliki catatan SPF
    • Uji Perintah NSLOOKUP NSLOOKUP

    Tes untuk 2FA yang lemah

    • Cobalah Bypass 2FA dengan menggunakan manajemen sesi yang buruk
    • Cobalah Bypass 2FA melalui mekanisme OAuth
    • Cobalah untuk memotong 2FA melalui brute-forcing
    • Cobalah untuk memotong 2FA melalui manipulasi respons
    • Coba bypass 2FA dengan menggunakan tautan aktivasi untuk login
    • Cobalah Bypass 2FA dengan menggunakan manipulasi kode status
    • Cobalah Bypass 2FA dengan mengubah email atau kata sandi
    • Cobalah Bypass 2FA dengan menggunakan entri nol atau kosong
    • Cobalah untuk memotong 2fa dengan mengubah boolean menjadi false
    • Cobalah Bypass 2FA dengan menghapus parameter 2FA pada permintaan

    Tes untuk implementasi OTP yang lemah

    • Cobalah untuk memotong OTP dengan memasuki OTP lama
    • Cobalah untuk memotong OTP dengan memaksakan brute
    • Cobalah mem -bypass OTP dengan menggunakan entri nol atau kosong
    • Cobalah untuk memotong OTP dengan manipulasi respons
    • Cobalah mem -bypass OTP dengan manipulasi kode status

Dibentuk oleh: Hariprasaanth R

Raih saya: Portofolio LinkedIn GitHub

Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua