Web App Pentest Checklist

OWASPベースのチェックリスト??

500以上のテストケース

概念リンク：https：//hariprasaanth.notion.site/web-application-pentesting-checklist-0f02d8074b9d4af7b12b8da2d46ac998

• 情報収集

  オープンソース偵察

  • Google Dorks検索を実行します
  • OSINTを実行します

  フィンガープリントWebサーバー

  • Webサーバーのタイプを見つけます
  • Webサーバーのバージョンの詳細を見つけます

  メタファイルを探しています

  • robots.txtファイルを表示します
  • sitemap.xmlファイルを表示します
  • humans.txtファイルを表示します
  • security.txtファイルを表示します

  Webサーバーのアプリケーションの列挙

  • NMAPで列挙します
  • Netcatで列挙します
  • DNSルックアップを実行します
  • 逆DNSルックアップを実行します

  Webコンテンツを確認します

  • 敏感な情報については、ページソースを検査します
  • 機密性の高いJavaScriptコードを見つけてみてください
  • キーを見つけてみてください
  • オートコンプリートが無効になっていることを確認してください

  アプリケーションのエントリポイントを識別します

  • 使用した方法が何であるかを特定しますか？
  • 使用される方法がどこにあるかを特定しますか？
  • 注入点を特定します

  マッピング実行パス

  • バープスイートを使用します
  • dirsearchを使用します
  • GoBusterを使用します

  指紋Webアプリケーションフレームワーク

  • Wappalyzerブラウザ拡張機能を使用します
  • Whatwebを使用してください
  • URL拡張機能を表示します
  • HTMLソースコードを表示します
  • Cookieパラメーターを表示します
  • HTTPヘッダーを表示します

  マップアプリケーションアーキテクチャ

  • サイト全体の構造をマップします

• 構成と展開管理テスト

  ネットワーク構成をテストします

  • ネットワーク構成を確認します
  • デフォルト設定を確認してください
  • デフォルトの資格情報を確認してください

  アプリケーションの構成をテストします

  • 必要なモジュールのみが使用されていることを確認してください
  • 不要なモジュールが無効になっていることを確認してください
  • サーバーがDOSを処理できることを確認してください
  • アプリケーションが4xxおよび5xxエラーの処理方法を確認します
  • 実行に必要な特権を確認してください
  • 機密情報についてはログを確認してください

  ファイル拡張処理をテストします

  • サーバーが機密拡張機能を返さないようにします
  • サーバーが悪意のある拡張機能を受け入れないようにします
  • ファイルアップロードの脆弱性のテスト

  バックアップとリファレンスされていないファイルを確認します

  • リファレンスされていないファイルに機密情報が含まれていないことを確認してください
  • 古いバックアップファイルと新しいバックアップファイルの命名を確保します
  • 参照されていないページの機能を確認してください

  インフラストラクチャと管理インターフェイスを列挙します

  • インフラストラクチャインターフェイスを見つけてみてください
  • 管理インターフェイスを見つけてみてください
  • 非表示の管理者機能を特定します

  HTTPメソッドのテスト

  • サポートされている方法を発見します
  • PUTメソッドが無効になっていることを確認してください
  • オプションメソッドが無効になっていることを確認してください
  • テストアクセス制御バイパス
  • XST攻撃のテスト
  • HTTPメソッドオーバーライドのテスト

  HSTSをテストします

  • HSTSが有効になっていることを確認してください

  RIAクロスドメインポリシーをテストします

  • Adobeのクロスドメインポリシーを確認してください
  • 特権が最も少ないことを確認してください

  ファイルの許可をテストします

  • 機密ファイルの権限を確保します
  • ディレクトリの列挙のテスト

  サブドメインの買収のテスト

  • サブドメインテイクオーバーのDNS、A、およびCNAMEレコードをテストします
  • サブドメインテイクオーバーのNSレコードをテストします
  • サブドメインテイクオーバーのテスト404応答

  クラウドストレージをテストします

  • AWSの敏感なパスを確認してください
  • Googleクラウドの敏感なパスを確認してください
  • Azureの敏感なパスを確認してください

• アイデンティティ管理テスト

  テストロール定義

  • 強制ブラウジングのテスト
  • IDORのテスト（不安定な直接オブジェクト参照）
  • パラメーターの改ざんのテスト
  • 低特権ユーザーが高特権リソースにアクセスできないことを確認してください

  ユーザー登録プロセスをテストします

  • 同じユーザーまたはIDが何度も登録できないことを確認してください
  • 登録が確認されていることを確認してください
  • 使い捨てのメールアドレスが拒否されていることを確認してください
  • 登録を成功させるために必要な証拠を確認してください

  テストアカウントプロビジョニングプロセス

  • プロビジョニングプロセスの検証を確認してください
  • 除外プロセスの検証を確認してください
  • 管理者ユーザーのプロビジョニング権を他のユーザーに確認してください
  • ユーザーが自分でプロビジョニングできるかどうかを確認してください。
  • 除外されたユーザーのリソースを確認してください

  アカウントの列挙のテスト

  • 有効なユーザー名とパスワードが入力されたときに応答を確認してください
  • 有効なユーザー名と無効なパスワードが入力されたときに応答を確認してください
  • 無効なユーザー名とパスワードが入力されたときに応答を確認してください
  • レート制限機能がユーザー名とパスワードフィールドで有効になっていることを確認します

  弱いユーザー名ポリシーのテスト

  • 有効なユーザー名と無効なユーザー名の両方について応答を確認してください
  • ユーザー名の列挙を確認してください

• 認証テスト

  暗号化されていないチャネルのテスト

  • HTTPログインページを確認してください
  • HTTPレジスタまたはサインインページを確認してください
  • HTTPを確認してくださいパスワードページを忘れてください
  • HTTPの変更パスワードを確認してください
  • ログアウト後にHTTPのリソースを確認してください
  • HTTPページへの強制ブラウジングのテスト

  デフォルトの資格情報のテスト

  • デフォルトの資格情報を使用してテストします
  • 資格情報として組織名をテストします
  • 応答操作のテスト
  • デフォルトのユーザー名と空白のパスワードをテストします
  • 資格情報のページソースを確認します

  弱いロックアウトメカニズムのテスト

  • 3〜5回の誤った試行後にアカウントがロックされていることを確認してください
  • システムが有効なキャプチャのみを受け入れることを確認してください
  • システムが無効なキャプチャを拒否していることを確認してください
  • リロード後にキャプチャコードが再生されるようにします
  • 間違ったコードを入力した後、Captchaがリロードするようにします
  • ユーザーがロックアウトアカウントの回復オプションを持っていることを確認してください

  認証スキーマをバイパスするためのテスト

  • ログインせずに内部ダッシュボードに直接ブラウジングを強制した
  • セッションID予測のテスト
  • 認証パラメーターの改ざんのテスト
  • ログインページでのSQLインジェクションのテスト
  • セッションIDの助けを借りてアクセスするためのテスト
  • 許可されている複数のログインをテストしますか？

  脆弱な覚えているパスワードのテスト

  • 保存されたパスワードが暗号化されていることを確認してください
  • 保存されたパスワードがサーバー側にあることを確認してください

  ブラウザキャッシュの弱点をテストします

  • 適切なキャッシュコントロールが機密ページに設定されていることを確認してください
  • ブラウザキャッシュストレージに機密データが保存されていないことを確認してください

  弱いパスワードポリシーのテスト

  • パスワードポリシーが強力に設定されていることを確認してください
  • パスワードの再利用性を確認してください
  • ユーザーがユーザー名をパスワードとして使用するように確認されます
  • 一般的な弱いパスワードの使用を確認してください
  • 設定する最小パスワードの長さを確認してください
  • 設定する最大パスワードの長さを確認してください

  弱いセキュリティの質問のテスト

  • 質問の複雑さを確認してください
  • ブルートファーシングを確認してください

  弱いパスワードリセット機能のテスト

  • パスワードをリセットするために必要な情報を確認してください
  • HTTPでパスワードリセット機能を確認してください
  • パスワードリセットトークンのランダム性をテストします
  • パスワードのリセットトークンの一意性をテストします
  • パスワードリセットトークンのレート制限のテスト
  • 使用後にトークンが期限切れになる必要があることを確認してください
  • 長い間使用されていない後、トークンが期限切れになる必要があることを確認してください

  パスワードの変化機能が弱いためのテスト

  • 古いパスワードが変更を求められたかどうかを確認します
  • 忘れられたパスワードの一意性を確認してください
  • 空白のパスワードの変更を確認してください
  • HTTPでパスワードの変更機能を確認してください
  • 変更後に古いパスワードが表示されないことを確認してください
  • パスワードが変更された後、他のセッションが破壊されたことを確認してください

  代替チャネルでの弱い認証をテストします

  • デスクトップブラウザーで認証をテストします
  • モバイルブラウザで認証をテストします
  • 別の国で認証をテストします
  • 別の言語で認証をテストします
  • デスクトップアプリケーションで認証をテストします
  • モバイルアプリケーションで認証をテストします

• 承認テスト

  テストディレクトリトラバーサルファイルが含まれます

  • URLの注入点を特定します
  • ローカルファイル包含のテスト
  • リモートファイル包含のテスト
  • URLパラメーターでトラバーサルをテストします
  • Cookieパラメーターでトラバーサルをテストします

  エンコーディングによるトラバーサルのテスト

  • base64エンコーディングでトラバーサルをテストします
  • URLエンコードを使用したテストトラバーサル
  • ASCIIエンコーディングを伴うテストトラバーサル
  • HTMLエンコードを使用したテストトラバーサル
  • ヘックスエンコーディングを使用したテストトラバーサル
  • バイナリエンコーディングを使用したテストトラバーサル
  • Octalエンコーディングを伴うテストトラバーサル
  • GZIPエンコーディングでトラバーサルをテストします

  異なるOSスキームでtravesalをテストします

  • UNIXスキームを使用したテストトラバーサル
  • Windowsスキームを使用したテストトラバーサル
  • MACスキームを使用したトラバーサルをテストします

  他のエンコーディング手法をテストします

  • 二重エンコーディングでトラバーサルをテストします
  • すべての文字をエンコードした状態でトラバーサルをテストします
  • 特殊文字のみをエンコードしたテストトラバーサル

  テスト承認スキーマバイパス

  • 水平認証スキーマバイパスのテスト
  • 垂直認証スキーマバイパスのテスト
  • テストカスタムヘッダーでターゲットをオーバーライドします

  特権エスカレーションのテスト

  • 注入点を特定します
  • セキュリティ対策をバイパスするためのテスト
  • 強制ブラウジングのテスト
  • IDORのテスト
  • 高特権ユーザーへのパラメーターの改ざんのテスト

  不安定な直接オブジェクト参照のテスト

  • IDパラメーターを変更するためのテスト
  • エンドポイントにパラメーターを追加するテスト
  • HTTPパラメーター汚染のテスト
  • 最後に拡張機能を追加してテストします
  • 古いAPIバージョンでテストします
  • ArrayでIDをラッピングしてテストします
  • JSONオブジェクトでIDをラッピングしてテストします
  • JSONパラメーター汚染のテスト
  • ケースを変更してテストします
  • パストラバーサルのテスト
  • 単語を変更してテストします
  • メソッドを変更してテストします

• セッション管理テスト

  セッション管理スキーマのテスト

  • すべてのセットクッキーディレクティブが安全であることを確認してください
  • 暗号化されていないチャネルを介してCookie操作が行われないことを確認してください
  • 暗号化されていないチャネルにクッキーを強制できないことを確認してください
  • HTTPonlyフラグが有効になっていることを確認してください
  • クッキーが永続的であるかどうかを確認してください
  • セッションCookieとCookieの有効期限/時刻を確認してください
  • セッションの固定を確認してください
  • 同時ログインを確認してください
  • ログアウト後にセッションを確認してください
  • ブラウザを閉じた後、セッションを確認してください
  • クッキーのデコード（base64、hex、urlなど）を試してみてください

  Cookie属性のテスト

  • 安全な属性を使用してCookieを設定する必要があることを確認してください
  • Cookieをパス属性で設定する必要があることを確認してください
  • Cookieにhttponlyフラグが必要であることを確認してください

  セッション固定のテスト

  • 認証が成功したときに新しいCookieが発行されていることを確認してください
  • Cookieを操作するテスト

  露出したセッション変数のテスト

  • 暗号化のテスト
  • 脆弱性を取得およびポストするテスト
  • 使用されているセッションIDを組み込んだget requestの場合
  • GETメソッドを使用した交換投稿によるテスト

  バックリフレッシュ攻撃のテスト

  • パスワードが変更された後にテストします
  • ログアウト後にテストします

  クロスサイトのリクエスト偽造のテスト

  • トークンがサーバー側で検証されているかどうかを確認します
  • トークンが完全または部分的な長さで検証されているかどうかを確認します
  • 複数のダミーアカウントについてCSRFトークンを比較して確認してください
  • GETメソッドを使用して、交換する投稿でCSRFを確認してください
  • CSRFトークンパラメーターを削除して、CSRFを確認してください
  • CSRFトークンを削除し、空白のパラメーターを使用してCSRFを確認します
  • 未使用のトークンを使用してCSRFを確認してください
  • CSRFトークンを独自の値に置き換えてCSRFを確認してください
  • コンテンツタイプをForm-Multipartに変更して、CSRFを確認します
  • CSRFトークンの一部の文字を変更または削除して、CSRFを確認してください
  • リファラーをリファラーに変更して、CSRFを確認してください
  • ホスト値を変更してCSRFを確認します
  • ClickJackingと一緒にCSRFを確認してください

  ログアウト機能のテスト

  • さまざまなページのログアウト関数を確認してください
  • ログアウトボタンの可視性を確認してください
  • ログアウト後、セッションが終了したことを確認してください
  • ログアウト後に確認してください。バックボタンを押してダッシュボードにアクセスできません
  • 適切なセッションタイムアウトが設定されていることを確認してください

  セッションタイムアウトのテスト

  • セッションタイムアウトが存在することを確認してください
  • タイムアウト後、すべてのトークンが破壊されることを確認してください

  セッションの困惑のテスト

  • すべてのセッション変数を特定します
  • セッション生成の論理的な流れを破ってみてください

  セッションハイジャックのテスト

  • HSTSを有効にしていないターゲットでのテストセッションハイジャック
  • キャプチャされたCookieの助けを借りて、ログインしてテストします

• 入力検証テスト

  反射されたクロスサイトスクリプトのテスト

  • これらの文字がフィルタリングされていることを確認<> ''＆ ""
  • キャラクターエスケープシーケンスでテストします
  • <and>をHTMLエンティティに置き換えてテスト<and>
  • 上部と大文字の両方でペイロードをテストします
  • 新しいライン /r /nによるファイアウォールの正規表現を破壊するテスト
  • 二重エンコーディングでテストします
  • 再帰フィルターでテストします
  • 空白なしでアンカータグを注入します
  • 白人を弾丸に置き換えてテストします
  • HTTPメソッドを変更してテストします

  保存されたクロスサイトスクリプトのテスト

  • クライアント側を反映する保存された入力パラメーターを特定する
  • プロファイルページで入力パラメーターを探します
  • ショッピングカートページで入力パラメーターを探してください
  • ファイルアップロードページで入力パラメーターを探します
  • [設定]ページで入力パラメーターを探します
  • フォーラムで入力パラメーターを探してください、コメントページ
  • XSSペイロードを使用してファイルをファイル名としてアップロードするテスト
  • HTMLタグでテストします

  HTTPパラメーター汚染のテスト

  • 使用されているバックエンドサーバーと解析方法を特定します
  • 注入ポイントにアクセスしてみてください
  • HTTPパラメーター汚染を使用して入力フィルターをバイパスしてみてください

  SQL注入のテスト

  • 認証フォームでSQLインジェクションをテストします
  • 検索バーでSQLインジェクションをテストします
  • 編集可能な特性に関するSQLインジェクションをテストします
  • SQLキーワードまたはエントリポイントの検出を見つけてみてください
  • SQLクエリを注入してみてください
  • SQLMapやHackbarなどのツールを使用します
  • Google Dorksを使用して、SQLキーワードを見つけます
  • ベースのSQLインジェクションを取得してみてください
  • 投稿ベースのSQLインジェクションを試してください
  • CookieベースのSQLインジェクションをお試しください
  • ヘッダーベースのSQLインジェクションを試してください
  • SQLクエリの前にnullバイトでSQLインジェクションを試してみてください
  • URLエンコードでSQLインジェクションを試してください
  • 下品と上品の両方でSQLインジェクションを試してください
  • SQLタンパースクリプトでSQLインジェクションを試してください
  • SQL時間遅延ペイロードでSQLインジェクションを試してください
  • SQL条件付き遅延でSQLインジェクションを試してください
  • ブールベースのSQLを使用したSQLインジェクションを試してください
  • 時間ベースのSQLを使用してSQLインジェクションを試してください

  LDAP注入のテスト

  • LDAP検索フィルターを使用します
  • アクセス制御バイパスのためにLDAPインジェクションを試してください

  XML注入のテスト

  • アプリケーションが処理にXMLを使用しているかどうかを確認します
  • XML MetacharacterによるXMLインジェクションポイントを特定します
  • XMLの上にXSSペイロードを構築します

  サーバー側のテストが含まれます

  • Google Dorksを使用してSSIを見つけます
  • SSIの上にRCEを構築します
  • SSIの上に他の注射を構築します
  • ログインページ、ヘッダーフィールド、リファラーなどにSSIを注入するテスト

  Xpath注入のテスト

  • XPathインジェクションポイントを特定します
  • Xpath注入のテスト

  IMAP SMTP注入のテスト

  • IMAP SMTPインジェクションポイントを特定します
  • データフローを理解します
  • システムの展開構造を理解します
  • 注入の影響を評価します

  ローカルファイル包含のテスト

  • LFIキーワードを探します
  • ローカルパスを変更してみてください
  • LFIペイロードリストを使用します
  • 最後にnullバイトを追加してLFIをテストします

  リモートファイル包含のテスト

  • RFIキーワードを探します
  • リモートパスを変更してみてください
  • RFIペイロードリストを使用します

  コマンドインジェクションのテスト

  • 注入ポイントを特定します
  • コマンドインジェクションキーワードを探します
  • 異なる区切り文字を使用したテストコマンドインジェクション
  • ペイロードリストを使用したテストコマンドインジェクション
  • 異なるOSコマンドを使用したテストコマンドインジェクション

  フォーマット文字列インジェクションのテスト

  • 注入ポイントを特定します
  • 異なる形式のパラメーターをペイロードとして使用します
  • 注入の影響を評価します

  ホストヘッダーインジェクションのテスト

  • 実際のホストパラメーターを変更して、HHIをテストします
  • X-orwarded Hostパラメーターを追加してHHIをテストします
  • 実際のホストとXにぴったりのホストパラメーターを交換して、HHIをテストします
  • 2つのホストパラメーターを追加してHHIをテストします
  • 元の値の前にターゲット値を追加してHHIをテストします
  • 元の値の後にスラッシュでターゲットを追加することにより、HHIをテストします
  • ホストパラメーターに他の注入でHHIをテストする
  • パスワードリセット中毒によるHHIのテスト

  サーバーサイドリクエストの偽造のテスト

  • SSRFキーワードを探します
  • リクエストヘッダーとボディの下でのみSSRFキーワードを検索します
  • 注入ポイントを特定します
  • 注入ポイントが悪用可能かどうかをテストします
  • 注入の影響を評価します

  サーバー側のテンプレートインジェクションのテスト

  • テンプレートインジェクションの脆弱性ポイントを特定します
  • テンプレートエンジンを特定します
  • TPLMAPを使用して悪用します

• エラー処理テスト

  不適切なエラー処理のテスト

  • エラー出力を特定します
  • 返されたさまざまな出力を分析します
  • 一般的なエラー処理欠陥を探してください
  • URLパラメーターを変更して、エラー処理をテストします
  • 認識されていないファイル形式のアップロードによるテストエラー処理
  • 認識されていない入力を入力して、エラー処理をテストします
  • すべての可能なエラーを作成して、エラー処理をテストします

• 弱い暗号化テスト

  輸送層の弱いセキュリティのテスト

  • SSLV2プロトコルのdr死の衰弱をテストします
  • SSLV3プロトコルのプードル脱力​​のテスト
  • TLSV1.0プロトコルの獣の脱力感のテスト
  • 輸出暗号スイートの異常な衰弱をテストします
  • ヌル暗号のテスト
  • RC4のノモレの衰弱のテスト
  • CBCモード暗号でのラッキー13の弱さをテストします
  • TLS圧縮の犯罪の衰弱をテストします
  • dheキーのlogjamのテスト
  • デジタル証明書に少なくとも2048ビットのキー長が必要であることを確認してください
  • デジタル証明書に少なくともSHA-256署名アルゴリズムが必要なことを確認してください
  • デジタル証明書がMDFとSHA-1を使用しないでください
  • デジタル証明書の有効性を確保します
  • 最小キー長要件を確認してください
  • 弱い暗号スイートを探してください

• ビジネスロジックテスト

  ビジネスロジックのテスト

  • アプリケーションの仕組みのロジックを特定します
  • すべてのボタンの機能を特定します
  • 数値値を高い値または負の値に変更してテストする
  • 数量を変更してテストします
  • 支払いを変更してテストします
  • パラメーターの改ざんのテスト

  悪意のあるファイルのアップロードのテスト

  • 悪意のあるファイルをアップロードして、悪意のあるファイルをアップロードして、悪意のあるファイルをアップロードします
  • IPアドレスをファイル名に配置して、悪意のあるファイルのアップロード
  • 右から左のオーバーライドで悪意のあるファイルアップロードをテストします
  • エンコードされたファイル名で悪意のあるファイルアップロードをテストします
  • ファイル名のXSSペイロードによる悪意のあるファイルアップロードをテスト
  • ファイル名のRCEペイロードによる悪意のあるファイルアップロードをテスト
  • ファイル名のLFIペイロードによる悪意のあるファイルアップロードをテスト
  • ファイル名のRFIペイロードによる悪意のあるファイルアップロードをテスト
  • ファイル名のSQLペイロードによる悪意のあるファイルアップロードをテスト
  • ファイル名の他のインジェクションによる悪意のあるファイルのアップロード
  • bmp.plツールで画像の内部にペイロードを挿入することにより、悪意のあるファイルのアップロードをテストします
  • 大きなファイルをアップロードして悪意のあるファイルアップロードをテストします（DOSにつながる）

• クライアントサイドテスト

  DOMベースのクロスサイトスクリプトのテスト

  • DOMシンクを識別してみてください
  • そのDOMシンクタイプにペイロードを作成します

  URLリダイレクトのテスト

  • URLリダイレクトパラメーターを探します
  • ドメインパラメーターでのURLリダイレクトのテスト
  • ペイロードリストを使用して、URLリダイレクトをテストします
  • 最後にホワイトリストに登録された単語を使用して、URLリダイレクトをテストする
  • ターゲットと同じで新しいサブドメインを作成することにより、URLリダイレクトをテストします
  • XSSによるURLリダイレクトのテスト
  • プロファイルURLの欠陥によるURLリダイレクトのテスト

  クロスオリジンリソース共有のテスト

  • 応答で「アクセスコントロール - アロウオリジン」を探します
  • さらに搾取するために、CORS HTMLエクスプロイトコードを使用します

  クリックジャックのテスト

  • 「X-Frame-Options」ヘッダーが有効になっていることを確認してください
  • POCのIFRAME HTMLコードでエクスプロイト

• その他の一般的な問題

  無給の制限のテスト

  • レート制限が有効になっていることを確認してください
  • エンドポイントのケースを変更することにより、レートの制限をバイパスしてみてください
  • URLの最後に /追加することにより、レートの制限をバイパスしてみてください
  • HTTPヘッダーを追加して、レートの制限をバイパスしてみてください
  • HTTPヘッダーを2回追加して、レートの制限をバイパスしてみてください
  • 原点ヘッダーを追加して、レートの制限をバイパスしてみてください
  • IPローテーションによるレートの制限をバイパスしてみてください
  • 最後にnullバイトを使用して、速度制限をバイパスしてみてください
  • 人種条件を使用して、制限を制限するようにしてください

  Exif Geodataのテスト

  • ウェブサイトがジオダタを縞模様にしていることを確認してください
  • EXIFチェッカーでテストします

  壊れたリンクハイジャックのテスト

  • 壊れたリンクがないことを確認してください
  • BLCツールを使用して、壊れたリンクをテストします

  SPFのテスト

  • WebサイトにSPFレコードがあることを確認してください
  • nslookupコマンドでSPFをテストします

  弱い2FAのテスト

  • セッション管理が不十分な場合、2FAをバイパスしてみてください
  • OAuthメカニズムを介して2FAをバイパスしてみてください
  • ブルートファーシングを介して2FAをバイパスしてみてください
  • 応答操作を介して2FAをバイパスしてみてください
  • アクティベーションリンクを使用してログインして2FAをバイパスしてみてください
  • ステータスコード操作を使用して、2FAをバイパスしてみてください
  • メールまたはパスワードを変更して2FAをバイパスしてみてください
  • NULLまたは空のエントリを使用して2FAをバイパスしてみてください
  • ブール値をfalseに変更して2FAをバイパスしてみてください
  • リクエストで2FAパラメーターを削除して2FAをバイパスしてみてください

  弱いOTP実装のテスト

  • 古いOTPを入力してOTPをバイパスしてみてください
  • ブルートファーシングでOTPをバイパスしてみてください
  • nullまたは空のエントリを使用してOTPをバイパスしてみてください
  • 応答操作によりOTPをバイパスしてみてください
  • ステータスコード操作によってOTPをバイパスしてみてください

私に到達：LinkedIn Portfolio Github