Главная страница>Ресурсы для создания веб-сайтов>Данные веб-сайта
Скачать

Контрольный список веб -приложения Pentesting

OWASP Base Checklist ??

500+ тестовых случаев

Ссылка понятия: https://hariprasaanth.notion.site/web-application-pentesting-checklist-0f02d8074b9d4af7b12b8da2d46ac998

  • Сбор информации

    Разведка с открытым исходным кодом

    • Выполнить поиск Google Dorks
    • Выполнить Osint

    Веб -сервер отпечатков пальцев

    • Найдите тип веб -сервера
    • Найдите данные версии веб -сервера

    Ищу метафилы

    • Посмотреть файл robots.txt
    • Посмотреть файл sitemap.xml
    • Посмотреть файл humans.txt
    • Посмотреть файл Security.txt

    Перечисление приложений веб -сервера

    • Перечисление с NMAP
    • Перечисление с Netcat
    • Выполнить поиск DNS
    • Выполнить обратный поиск DNS

    Просмотрите веб -содержимое

    • Осмотрите источник страницы на наличие конфиденциальной информации
    • Попробуйте найти чувствительные коды JavaScript
    • Попробуйте найти ключи
    • Убедитесь, что автозаполнение отключено

    Определение точек входа приложения

    • Определить, какие методы используются?
    • Определить, где находятся используемые методы?
    • Определите точку инъекции

    Картирование путей выполнения

    • Используйте люкс Burp
    • Используйте Dirsearch
    • Используйте Gobuster

    Структура веб -приложений отпечатков пальцев

    • Используйте расширение браузера Wappalyzer
    • Используйте что
    • Просмотреть URL -расширения
    • Просмотреть исходный код HTML
    • Посмотреть параметр cookie
    • Посмотреть заголовки HTTP

    Карта приложения архитектура

    • Составить общую структуру сайта

  • Конфигурация и тестирование управления развертыванием

    Тестовая конфигурация сети

    • Проверьте конфигурацию сети
    • Проверьте настройки по умолчанию
    • Проверьте наличие учетных данных по умолчанию

    Тестовая конфигурация приложения

    • Убедитесь, что используются только необходимые модули
    • Убедитесь, что нежелательные модули отключены
    • Убедитесь, что сервер может обрабатывать DOS
    • Проверьте, как приложение обрабатывает ошибки 4xx и 5xx
    • Проверьте привилегию, необходимую для запуска
    • Проверьте журналы для конфиденциальной информации

    Обработка расширения тестового файла

    • Убедитесь, что сервер не возвращает конфиденциальные расширения
    • Убедитесь, что сервер не будет принимать злонамеренные расширения
    • Тест на загрузку файлов уязвимостей

    Просмотреть резервные копии и незадавленные файлы

    • Убедитесь, что не упорядоченные файлы не содержат конфиденциальной информации
    • Убедитесь, что имена старых и новых резервных файлов
    • Проверьте функциональность страниц без ссылок

    Перечислять инфраструктуру и административные интерфейсы

    • Попробуйте найти интерфейс инфраструктуры
    • Попробуйте найти интерфейс администратора
    • Определите скрытые функции администратора

    Тестирование методов HTTP

    • Откройте для себя поддерживаемые методы
    • Убедитесь, что метод POT отключен
    • Убедитесь, что метод параметров отключен
    • Проверка контроля доступа
    • Тест на атаки XST
    • Тест на метод HTTP переоценки

    Тест HSTS

    • Убедитесь, что HSTS включен

    Проверка политики кросс -домена RIA

    • Проверьте политику кросс -домена Adobe
    • Убедитесь, что у него есть наименьшая привилегия

    Разрешение на тестовое файл

    • Убедитесь, что разрешения для конфиденциальных файлов
    • Тест на перечисление каталогов

    Тест на поглощение субдомена

    • Проверка DNS, A и Cname Records для поглощения поддожа
    • Тестирование записей NS на поглощение поддожа
    • Тест 404 Ответ на поглощение поддожа

    Тестирование облачного хранилища

    • Проверьте чувствительные пути AWS
    • Проверьте конфиденциальные пути Google Cloud
    • Проверьте чувствительные пути Azure

  • Тестирование управления идентификацией

    Тестовые определения ролей

    • Тест на принудительный просмотр
    • Тест на IDOR (небезопасная прямая ссылка на объект)
    • Тест на подделка параметров
    • Убедитесь, что пользователи с низкой привилегией не могут получить доступ к ресурсам с высокой привилегией

    Тестировать процесс регистрации пользователя

    • Убедитесь, что тот же пользователь или личность не может зарегистрироваться снова и снова
    • Убедитесь, что регистрации проверены
    • Убедитесь, что располагаемые адреса электронной почты отклоняются
    • Проверьте, какое доказательство требуется для успешной регистрации

    Процесс обеспечения тестовой учетной записи

    • Проверьте проверку для процесса обеспечения
    • Проверьте проверку для процесса выпуска
    • Проверьте права на предоставление пользователя администратора другим пользователям
    • Проверьте, способен ли пользователь отменить себя или нет?
    • Проверьте ресурсы пользователя, находящегося

    Тестирование для перечисления счетов

    • Проверьте ответ, когда введено действительное имя пользователя и пароль
    • Проверьте ответ, когда введено действительное имя пользователя и неверный пароль
    • Проверьте ответ при введении неверного имя пользователя и пароль
    • Убедитесь, что функциональность, ограничивающая ставку, включена в поля имени пользователя и пароля

    Тест на слабую политику имени пользователя

    • Проверьте ответ как для действительных, так и для недействительных имен пользователей
    • Проверьте перечисление имени пользователя

  • Тестирование аутентификации

    Тест на не врезанный канал

    • Проверьте страницу http login
    • Проверьте наличие HTTP-регистра или страницы входа
    • Проверьте, что на HTTP Забыли страницу пароля
    • Проверьте, что на наличие пароля http изменить пароль
    • Проверьте наличие ресурсов на HTTP после входа в систему
    • Тест на принудительный просмотр на страницы HTTP

    Тест на учетные данные по умолчанию

    • Тест с учетными данными по умолчанию
    • Название организации тестирования в качестве учетных данных
    • Тест на манипуляции с ответом
    • Тест на имя пользователя по умолчанию и пустой пароль
    • Просмотрите источник страниц для получения учетных данных

    Тест на слабый механизм блокировки

    • Убедитесь, что учетная запись была заблокирована после 3-5 неправильных попыток
    • Убедитесь, что система принимает только действующую капчу
    • Убедитесь, что система отвергает недействительную капчу
    • Обеспечить восстановление кода CAPTCHA после перезагрузки
    • Обеспечить перезагрузку CAPTCHA после входа в неправильный код
    • Убедитесь, что у пользователя есть параметр восстановления для учетной записи блокировки

    Тест на обход схемы аутентификации

    • Проверка принудительного просмотра непосредственно на внутреннюю панель без входа в систему
    • Тест на предсказание идентификатора сеанса
    • Тест на подделка параметров аутентификации
    • Тест на инъекцию SQL на странице входа в систему
    • Тест, чтобы получить доступ с помощью идентификатора сеанса
    • Проверьте несколько разрешенных входов в систему или нет?

    Тест на уязвимый пароль запомнить

    • Убедитесь, что хранимый пароль зашифрован
    • Убедитесь, что хранимый пароль находится на стороне сервера

    Тест на слабость кеша браузера

    • Убедитесь, что правильный контроль кэша устанавливается на чувствительных страницах
    • Убедитесь, что конфиденциальные данные не хранятся в хранилище кэша браузера

    Тест на политику слабых паролей

    • Убедитесь, что политика пароля установлена ​​на сильную
    • Проверьте наличие пароля повторного использования
    • Проверьте пользователю, чтобы использовать свое имя пользователя в качестве пароля
    • Проверьте использование общих слабых паролей
    • Проверьте минимальную длину пароля, которая будет установлена
    • Проверьте максимальную длину пароля, которая будет установлена

    Тестирование на слабые вопросы безопасности

    • Проверьте сложность вопросов
    • Проверьте, что на предмет скорби

    Тест на слабое сброс пароля

    • Проверьте, какую информацию требуется для сброса пароля
    • Проверьте функцию сброса пароля с помощью HTTP
    • Проверьте случайность токенов сброса пароля
    • Проверьте уникальность токенов сброса пароля
    • Тест на ограничение ставки на токенах сброса пароля
    • Убедитесь, что токен должен истекать после использования
    • Убедитесь, что токен должен истекать после долгого использования в течение долгого времени

    Тест на слабое изменение пароля функции

    • Проверьте, попросил ли старый пароль внести изменения
    • Проверьте уникальность забытого пароля
    • Проверьте, чтобы изменить пустое изменение пароля
    • Проверьте функцию изменения пароля с помощью http
    • Убедитесь, что старый пароль не отображается после изменения
    • Убедитесь, что другие сеансы были уничтожены после изменения пароля

    Тест на слабую аутентификацию в альтернативном канале

    • Проверка аутентификации в настольных браузерах
    • Проверьте аутентификацию в мобильных браузерах
    • Проверить аутентификацию в другой стране
    • Проверьте аутентификацию на другом языке
    • Проверка аутентификации на настольных приложениях
    • Проверка аутентификации на мобильных приложениях

  • Авторизация тестирования

    Файл прохождения каталога тестирования включает

    • Определите точку инъекции на URL
    • Тест на локальное включение файла
    • Тест на включение удаленного файла
    • Тестовое обход на параметр URL -адреса
    • Тестирование обхода на параметр cookie

    Тестирование обхода с кодированием

    • Тестовое прохождение с кодированием BASE64
    • Проверка проверки с кодированием URL
    • Тест обход с кодированием ASCII
    • Тестирование прохождения с помощью кодирования HTML
    • Проверка прохождения с помощью шестнадцатеричного кодирования
    • Проверка теста с бинарной кодировкой
    • Тест обхол с восьмиугольником кодировки
    • Тест обход с кодированием GZIP

    Тестирование травзала с различными схемами ОС

    • Тестирование схемы UNIX
    • Проверка обхода со схемами Windows
    • Проверка тестирования с помощью схем Mac

    Проверьте другие методы кодирования

    • Тест обход с двойным кодированием
    • Тестировать обход со всеми символами кодировать
    • Тестирование обхода с кодированием только специальных символов

    Обход схемы авторизации теста

    • Тест на обход схемы горизонтальной авторизации
    • Тест на обход схемы вертикальной авторизации
    • Тест переопределяет цель с помощью пользовательских заголовков

    Тест на эскалацию привилегий

    • Определите точку инъекции
    • Проверьте обход мер безопасности
    • Тест на принудительный просмотр
    • Тест на Idor
    • Тест на подделку параметров с высоким привилегированным пользователем

    Тест на небезопасную прямую ссылку на объект

    • Тест на изменение параметра идентификатора
    • Тест на добавление параметров в конечных точках
    • Тест на загрязнение параметров HTTP
    • Проверьте, добавив расширение в конце
    • Проверка с устаревшими версиями API
    • Проверка, завернув идентификатор с помощью массива
    • Тест, завернув идентификатор с помощью объекта JSON
    • Тест на загрязнение параметров JSON
    • Проверьте, изменив корпус
    • Тест на обход пути
    • Проверка, изменяя слова
    • Проверка с изменением методов

  • Тестирование управления сеансом

    Тест схемы управления сеансом

    • Убедитесь, что все установленные директивы в безопасности
    • Убедитесь, что операция по файлу cookie не происходит над незашифрованным каналом
    • Убедитесь, что печенье не может быть навязано не зашифрованным каналом
    • Убедитесь, что флаг httponly включен
    • Проверьте, есть ли какие -либо файлы cookie настойчивы
    • Проверьте на сеанс файлы cookie и дата истечения срока действия cookie
    • Проверьте на фиксацию сеанса
    • Проверьте на совместный вход в систему
    • Проверьте сеанс после входа
    • Проверьте сеанс после закрытия браузера
    • Попробуйте декодировать файлы cookie (Base64, Hex, URL и т. Д.)

    Тест на атрибуты cookie

    • Убедитесь, что файлы cookie должны быть установлены с безопасным атрибутом
    • Убедитесь, что файлы cookie должны быть установлены с атрибутом Path
    • Убедитесь, что файл cookie должен иметь флаг Httponly

    Тест на фиксацию сеанса

    • Убедитесь, что новые файлы cookie были выпущены при успешной аутентификации
    • Тестовая манипулирование печеньем

    Тест на раскрытые переменные сеанса

    • Тест на шифрование
    • Тест на получение уязвимостей
    • Проверьте, если получить запрос, включающий используемый идентификатор сеанса
    • Тест по взаимозаменяющему сообщению с помощью метода GET

    Проверка на атаку с обновлением

    • Тест после изменения пароля
    • Тест после входа

    Тест на подделку по перекрестному сайту подделка

    • Проверьте, проверяется ли токен на стороне сервера или нет
    • Проверьте, подтвержден ли токен для полной или частичной длины
    • Проверьте, сравнивая токены CSRF на несколько фиктивных учетных записей
    • Проверьте CSRF по взаимозаменяющему сообщению с помощью метода GET
    • Проверьте CSRF, удалив параметр токена CSRF
    • Проверьте CSRF, удалив токен CSRF и используя пустой параметр
    • Проверьте CSRF, используя неиспользованные токены
    • Проверьте CSRF, заменив токен CSRF на его собственные значения
    • Проверьте CSRF, изменяя тип контента на форм-multipart
    • Проверьте CSRF, изменив или удалив некоторые символы токена CSRF
    • Проверьте CSRF, изменив реферара на реферат
    • Проверьте CSRF, изменив значения хоста
    • Проверьте CSRF вместе с ClickJacking

    Тест на функциональность входа

    • Проверьте функцию входа на разные страницы
    • Проверьте, чтобы увидеть видимость кнопки входа в систему
    • Убедитесь, что после входа сеанс был закончен
    • Убедитесь, что после входа мы не сможем получить доступ к панели инструментов, нажав кнопку на заднем плане
    • Убедитесь, что подходящий тайм -аут сеанса был установлен

    Тест на тайм -аут сеанса

    • Убедитесь, что существует тайм -аут сеанса
    • Убедитесь, что после тайм -аута все жетоны уничтожаются

    Тест на загадку сеанса

    • Определите все переменные сеанса
    • Попробуйте сломать логический поток генерации сеанса

    Тест на сессию угон

    • Похищение сеанса тестирования на Target, в которой не включены HSTS
    • Тест по входу в систему с помощью захваченных файлов cookie

  • Входная проверка тестирования

    Тест на отраженные сценарии кросс -сайта

    • Убедитесь, что эти символы отфильтрованы <> '& ”
    • Проверка с последовательностью экономного персонажа
    • Проверка, заменив <и> на HTML -объекты <и>
    • Проверьте полезную нагрузку как с нижним, так и с верхним регистом
    • Тест, чтобы сломать режиму брандмауэра по новой линии /r /n
    • Проверка с двойным кодированием
    • Тест с рекурсивными фильтрами
    • Тестирование инъекционных якорных тегов без пробелов
    • Проверка, заменив пробелы пулями
    • Проверьте, изменяя методы HTTP

    Тест на сохраненный сценарий поперечного сайта

    • Определите сохраненные входные параметры, которые будут отражаться на стороне клиента
    • Ищите параметры ввода на странице профиля
    • Ищите параметры ввода на странице корзины покупок
    • Ищите параметры ввода на странице загрузки файла
    • Ищите параметры ввода на странице настроек
    • Ищите параметры ввода на форуме, страница комментария
    • Проверка Загрузка файла с помощью полезной нагрузки XSS в качестве имени файла
    • Проверьте с помощью HTML -тегов

    Тест на загрязнение параметров HTTP

    • Определите используемый метод бэкэнд -сервера и анализа
    • Попробуйте получить доступ к точке инъекции
    • Попробуйте обойти входные фильтры, используя загрязнение параметров HTTP

    Тест на инъекцию SQL

    • Проверка инъекции SQL на формы аутентификации
    • Проверьте инъекцию SQL на панели поиска
    • Проверка инъекции SQL на редактируемые характеристики
    • Попробуйте найти ключевые слова SQL или обнаружения точек входа
    • Попробуйте ввести запросы SQL
    • Используйте такие инструменты, как SQLMAP или Hackbar
    • Используйте Google Dorks, чтобы найти ключевые слова SQL
    • Попробуйте получить инъекцию SQL на основе SQL
    • Попробуйте инъекцию SQL на основе сообщений
    • Попробуйте инъекцию SQL на базе Cookie
    • Попробуйте инъекцию SQL на основе заголовка
    • Попробуйте инъекцию SQL с нулевыми байтами перед запросом SQL
    • Попробуйте инъекцию SQL с кодированием URL
    • Попробуйте инъекцию SQL как в нижних, так и в верхних случаях
    • Попробуйте SQL -инъекцию с помощью SQL Farpts Scripts
    • Попробуйте инъекцию SQL с задержкой SQL.
    • Попробуйте инъекцию SQL с условными задержками SQL
    • Попробуйте SQL -инъекцию с логическим SQL на основе
    • Попробуйте SQL -инъекцию со временем SQL

    Тест на инъекцию LDAP

    • Используйте поисковые фильтры LDAP
    • Попробуйте инъекцию LDAP для обхода контроля доступа

    Тестирование на инъекцию XML

    • Проверьте, использует ли приложение XML для обработки
    • Определите точку инъекции XML с помощью XML Metacharacter
    • Построить полезную нагрузку XSS на вершине XML

    Тест на сторону сервера включает

    • Используйте Google Dorks, чтобы найти SSI
    • Построить RCE поверх SSI
    • Построить другие инъекции на вершине SSI
    • Тест -инъекция SSI на страницах входа в систему, полей заголовка, рефератером и т. Д.

    Тест на инъекцию XPath

    • Определите точку инъекции XPath
    • Тест на инъекцию XPath

    Тест на инъекцию IMAP SMTP

    • Определите точку инъекции IMAP SMTP
    • Понять поток данных
    • Понять структуру развертывания системы
    • Оценить воздействие инъекции

    Тест на локальное включение файла

    • Ищите ключевые слова LFI
    • Попробуйте изменить локальный путь
    • Используйте список полезной нагрузки LFI
    • Проверьте LFI, добавив нулевый байт в конце

    Тест на включение удаленного файла

    • Ищите ключевые слова RFI
    • Попробуйте изменить удаленный путь
    • Используйте список полезной нагрузки RFI

    Тест на инъекцию команды

    • Определите точки впрыска
    • Ищите ключевые слова инъекции команды
    • Тестовая команда внедрения с использованием различных делимитов
    • Тестовый впрыск команды в списке полезной нагрузки
    • Тестовая команда внедрения с разными командами ОС

    Тест на инъекцию строки формата

    • Определите точки впрыска
    • Используйте разные параметры формата в качестве полезных нагрузок
    • Оценить воздействие инъекции

    Тест на инъекцию заголовка хозяина

    • Тест на HHI, изменяя параметр реального хоста
    • Тест на HHI, добавив параметр x-forwardeded host
    • Тест на HHI, заменив настоящий хост и параметр x-forwardered host
    • Тест на HHI, добавив два параметра хоста
    • Тест на HHI, добавив целевые значения перед исходными значениями
    • Проверка на HHI, добавив цель с помощью сброса после исходных значений
    • Тест на HHI с другими инъекциями на параметре хоста
    • Тест на HHI с помощью отравления сбросом пароля

    Тест на подделку запроса на стороне сервера

    • Ищите ключевые слова SSRF
    • Поиск ключевых слов SSRF только под заголовком запроса и телом
    • Определите точки впрыска
    • Проверьте, если точки впрыска используются
    • Оценить воздействие инъекции

    Тест на впрыск шаблона на стороне сервера

    • Определите точки уязвимости инъекции шаблона
    • Определите шаблон
    • Используйте TPLMAP для эксплуатации

  • Тестирование обработки ошибок

    Тест на неправильную обработку ошибок

    • Определите выход ошибки
    • Проанализируйте различные результаты, возвращаемые
    • Ищите общие ошибки обработки ошибок
    • Обработка ошибок теста путем изменения параметра URL -адреса
    • Обработка ошибок тестирования путем загрузки нераспознанных форматов файлов
    • Обработка ошибок теста путем ввода нераспознанных входов
    • Обработка ошибок тестирования, допуская все возможные ошибки

  • Слабое криптографическое тестирование

    Тест на слабую безопасность транспортного слоя

    • Тест на утопление слабости на протоколе SSLV2
    • Тест на слабость пуделя по протоколу SSLV3
    • Тест на слабость зверя по протоколу TLSV1.0
    • Проверка на уродную слабость на экспортном шифровании
    • Тест на нулевые шифры
    • Тест на слабость номоре на RC4
    • Тест на Lucky 13 Слабости на CBC -режиме Ciphers
    • Тест на слабость преступности при сжатии TLS
    • Тест на Logjam на ключах DHE
    • Убедитесь, что цифровые сертификаты должны иметь не менее 2048 бит длины ключей
    • Убедитесь, что цифровые сертификаты должны иметь как минимум алгоритм подписи SHA-256
    • Убедитесь, что цифровые сертификаты не должны использовать MDF и SHA-1
    • Обеспечить обоснованность цифрового сертификата
    • Обеспечить минимальные требования к длине ключей
    • Ищите слабые шифры

  • Бизнес -логика тестирование

    Тест на бизнес -логику

    • Определите логику того, как работает приложение
    • Определите функциональность всех кнопок
    • Проверьте путем изменения численных значений на высокие или отрицательные значения
    • Проверьте, изменив количество
    • Проверка путем изменения платежей
    • Тест на подделка параметров

    Тест на загрузку вредоносных файлов

    • Проверка вредоносной загрузки файла путем загрузки вредоносных файлов
    • Тестируйте вредоносную загрузку файла, поместив свой IP -адрес на имя файла
    • Проверка вредоносной загрузки файла справа от левого переопределения
    • Проверка вредоносной загрузки файла с помощью кодированного имени файла
    • Проверка вредоносной загрузки файла с помощью полезной нагрузки XSS на имя файла
    • Проверка вредоносной загрузки файла с помощью полезной нагрузки RCE на имя файла
    • Проверка вредоносной загрузки файла с помощью полезной нагрузки LFI на имя файла
    • Проверка вредоносной загрузки файла с помощью полезной нагрузки RFI на имя файла
    • Проверка вредоносной загрузки файла с помощью SQL Payload на имя файла
    • Проверка вредоносной загрузки файла с помощью других инъекций на имя файла
    • Тестируйте вредоносную загрузку файла, вставив полезную нагрузку внутри изображения с помощью инструмента bmp.pl
    • Проверьте загрузку вредоносных файлов, загрузив большие файлы (приводит к DOS)

  • Тестирование на стороне клиента

    Тест на сценарии кросс -сайта на основе DOM

    • Попробуйте идентифицировать раковины DOM
    • Постройте полезную нагрузку на этот тип DOM -раковина

    Тест на перенаправление URL

    • Ищите параметры перенаправления URL
    • Тест на перенаправление URL на параметрах домена
    • Тест на перенаправление URL с использованием списка полезной нагрузки
    • Тест на перенаправление URL с использованием слова в белом списке в конце
    • Тест на перенаправление URL, создав новый поддомен с таким же, как и цель
    • Тест на перенаправление URL с помощью XSS
    • Тест на перенаправление URL с помощью недостатка URL -адреса профиля

    Тест на обмен ресурсами Cross Origin

    • Ищите «Анализ-контроль-азолигин» на ответе
    • Используйте код эксплуатации CORS HTML для дальнейшей эксплуатации

    Тест на клик

    • Убедитесь, что заголовки «x-frame-options» включены
    • Эксплуатируйте код IFRAME HTML для POC

  • Другие общие проблемы

    Проверка на ограничение без учета ставок

    • Обеспечьте ограничение скорости
    • Попробуйте обходить ограничение скорости, изменяя случай конечных точек
    • Попробуйте обходить ограничение скорости, добавив / в конце URL
    • Попробуйте обходить ограничение скорости, добавив заголовки HTTP
    • Попробуйте обходить ограничение скорости, дважды добавляя заголовки HTTP
    • Попробуйте обходить ограничение скорости, добавив заголовки происхождения
    • Попробуйте обойти ограничение скорости вращением IP
    • Попробуйте обходить ограничение скорости, используя нулевые байты в конце
    • Попробуйте обходить ограничение скорости, используя условия гонки

    Тест на Exif Geodata

    • Убедитесь, что веб -сайт разделяет Geodata
    • Тест с чеклажником Exif

    Тест на разбитую ссылку угон

    • Убедитесь, что там нет сломанных ссылок
    • Проверьте разбитые ссылки с помощью инструмента BLC

    Тест на SPF

    • Убедитесь, что у веб -сайта есть запись SPF
    • Тест spf от nslookup command

    Тест на слабый 2FA

    • Попробуйте обойти 2FA, используя плохое управление сеансами
    • Попробуйте обойти 2FA через механизм OAuth
    • Попробуйте обойти 2FA через грубое
    • Попробуйте обойти 2FA через манипуляции с ответом
    • Попробуйте обойти 2FA, используя ссылки активации для входа в систему
    • Попробуйте обойти 2FA, используя манипуляции с кодом состояния
    • Попробуйте обойти 2FA, изменив электронную почту или пароль
    • Попробуйте обойти 2FA, используя нулевую или пустую запись
    • Попробуйте обойти 2FA, заменив логический
    • Попробуйте обойти 2FA, удалив параметр 2FA по запросу

    Тест на слабую реализацию OTP

    • Попробуйте обойти OTP, вступив в старый OTP
    • Попробуйте обойти OTP
    • Попробуйте обойти OTP, используя нулевую или пустую запись
    • Попробуйте обойти OTP путем манипуляции с ответом
    • Попробуйте обойти OTP по манипуляциям с кодом состояния

Сформировано: hariprasaanth r

Достигайтесь со мной: портфель LinkedIn GitHub

Расширять
Дополнительная информация
Связанные приложения
Рекомендуем вам
Связанные новости Все