Web Vulnerabilities Methodology
हर वेब पेंटेस्ट में कई छिपे हुए और स्पष्ट स्थान हो सकते हैं जो विकल्पित हो सकते हैं। यह पोस्ट एक चेकलिस्ट के रूप में है जिससे सुनिश्चित किया जा सकता है कि आपने सभी संभावित स्थानों में दोषों की खोज की है।
प्रॉक्सी
आजकल वेब एप्लिकेशन आम तौर पर किसी प्रकार के मध्यस्थ प्रॉक्सी का उपयोग करते हैं, जिन्हें (अब)उपयोग किया जा सकता है ताकि दोषों का शोध किया जा सके। इन दोषों को एक दोषयुक्त प्रॉक्सी की आवश्यकता होती है, लेकिन आम तौर पर इन्हें पिछले स्थान में कुछ अतिरिक्त दोष की भी आवश्यकता होती है।
उपयोगकर्ता इनपुट
अधिकांश वेब एप्लिकेशन उपयोगकर्ताओं को कुछ डेटा दर्ज करने की अनुमति देंगे जो बाद में प्रसंस्कृत किया जाएगा। डेटा की संरचना के आधार पर सर्वर की उम्मीद है कि कुछ दोष लागू हो सकते हैं या नहीं।
प्रतिबिम्बित मूल्य
यदि प्रस्तुत किया गया डेटा किसी प्रकार से प्रतिक्रिया में प्रतिबिम्बित हो सकता है, तो पृष्ठ कई मुद्दों के लिए विकल्पित हो सकता है।
कुछ उल्लिखित दोषों को विशेष स्थितियों की आवश्यकता होती है, अन्यों को केवल सामग्री प्रतिबिम्बित होने की आवश्यकता होती है। आप तेजी से दोषों की परीक्षण करने के लिए कुछ दिलचस्प पॉलिग्लोथ्स खोज सकते हैं:
pageReflecting Techniques - PoCs and Polygloths CheatSheetखोज कार्य
यदि कार्यक्षमता का उपयोग बैकएंड में किसी प्रकार के डेटा को खोजने के लिए किया जा सकता है, तो शायद आप इसे अर्बिट्रेरी डेटा को खोजने के लिए (अब)उपयोग कर सकते हैं।
फॉर्म, वेबसॉकेट्स और पोस्टमैसेज
जब एक वेबसॉकेट मेसेज पोस्ट करता है या एक फॉर्म उपयोगकर्ताओं को क्रियाएँ करने की अनुमति देता है, तो दोष उत्पन्न हो सकते हैं।
HTTP हेडर्स
वेब सर्वर द्वारा दिए गए HTTP हेडर्स के आधार पर कुछ दोष मौजूद हो सकते हैं।
बाईपास
कुछ विशेष कार्यक्षमताएं हैं जहां कुछ कामराउंड्स का उपयोग करना उपयुक्त हो सकता है ताकि उन्हें बाईपास किया जा सके
संरचित ऑब्जेक्ट्स / विशिष्ट कार्यक्षमताएं
कुछ कार्यक्षमताएं डेटा को एक बहुत विशिष्ट स्वरूप में संरचित होने की आवश्यकता होगी (जैसे एक भाषा सीरीयलाइज्ड ऑब्जेक्ट या XML)। इसलिए, ऐप्लिकेशन को दोषयुक्त होने की संभावना होना आसान होता है क्योंकि उसे उस प्रकार के डेटा को प्रोसेस करने की आवश्यकता होती है। कुछ **विशिष्ट कार्यक्षमत
फ़ाइलें
ऐसी कार्यक्षमताएँ जो फ़ाइलें अपलोड करने की अनुमति देती हैं, कई मुद्दों के लिए संकटग्रस्त हो सकती हैं। उन कार्यक्षमताओं के लिए जो उपयोगकर्ता इनपुट शामिल करके फ़ाइलें उत्पन्न करती हैं, अप्रत्याशित कोड का क्रियान्वयन कर सकती हैं। उपयोगकर्ता जो उपयोगकर्ताओं द्वारा अपलोड की गई या स्वचालित रूप से उत्पन्न की गई फ़ाइलें खोलते हैं, वे संकटग्रस्त हो सकते हैं।
बाह्य पहचान प्रबंधन
अन्य सहायक संकट
ये संकट अन्य संकटों का शोषण करने में मदद कर सकते हैं।
Last updated