Physical attacks
Mobile Apps Pentesting
Pentesting

SSTI (Server Side Template Injection)

Primero hay que identificar qué se está usando por detrás (en el server) para saber qué payload usar. Lo mejor para eso es probar entradas ( a ser posible que den error) en las respuestas con burp leer qué devuelve (probablemente habrá algún parámetro indicando un dato que revele la tecnología) Descubrir: ${7*7}, username}}<tag>, {{7*7}} Tool: tplmap.py

If you think it could be useful, read: