Katika kila Web Pentest, kuna sehemu nyingi zilizofichwa na wazi ambazo zinaweza kuwa na udhaifu. Chapisho hili linakusudia kuwa orodha ya kuangalia ili kuthibitisha kwamba umepitia udhaifu katika maeneo yote yanayowezekana.

Proxies

• Kutatiza vichwa vya hop-by-hop

• Uchafuzi wa Cache/Upotoshaji wa Cache

• HTTP Request Smuggling

• H2C Smuggling

• Server Side Inclusion/Edge Side Inclusion

• Kufichua Cloudflare

• XSLT Server Side Injection

• Proxy / WAF Protections Bypass

Kuingiza kwa mtumiaji

Thamani zilizorejelewa

Ikiwa data iliyowekwa inaweza kwa namna fulani kurejelewa katika jibu, ukurasa unaweza kuwa na udhaifu wa masuala kadhaa.

• Client Side Template Injection

• Command Injection

• CRLF

• Dangling Markup

• File Inclusion/Path Traversal

• Open Redirect

• Prototype Pollution to XSS

• Server Side Inclusion/Edge Side Inclusion

• Server Side Request Forgery

• Server Side Template Injection

• Reverse Tab Nabbing

• XSLT Server Side Injection

• XSS

• XSSI

• XS-Search

Baadhi ya udhaifu uliotajwa unahitaji hali maalum, wengine wanahitaji tu yaliyomo kuonyeshwa. Unaweza kupata polygloths za kuvutia za kujaribu haraka udhaifu katika:

Kazi za kutafuta

Ikiwa kazi inaweza kutumika kutafuta aina fulani ya data ndani ya backend, labda unaweza (kutumika vibaya) kutafuta data isiyo ya kawaida.

• File Inclusion/Path Traversal

• NoSQL Injection

• LDAP Injection

• ReDoS

• SQL Injection

• XPATH Injection

Fomu, WebSockets na PostMsgs

Wakati websocket inachapisha ujumbe au fomu inayowaruhusu watumiaji kufanya vitendo, udhaifu unaweza kutokea.

• Cross Site Request Forgery

• Kuhijack WebSocket za Tovuti (CSWSH)

• Udhaifu wa PostMessage

HTTP Headers

Kulingana na vichwa vya HTTP vilivyotolewa na server ya mtandao, udhaifu fulani unaweza kuwepo.

• Clickjacking

• Kupita Sera ya Usalama wa Maudhui

• Cookies Hacking

• CORS - Makosa ya Usanidi & Kupita

Kupita

Kuna kazi kadhaa maalum ambapo njia mbadala zinaweza kuwa na manufaa kupita.

• 2FA/OTP Bypass

• Kupita Mchakato wa Malipo

• Kupita Captcha

• Kupita Kuingia

• Race Condition

• Kupita Kiwango cha Kiwango

• Kupita Kurekebisha Nenosiri Lililosahaulika

• Udhaifu wa Usajili

Vitu vilivyo na muundo / Kazi maalum

Baadhi ya kazi zitahitaji data kuwa na muundo maalum sana (kama vile kitu kilichosawazishwa au XML). Hivyo, ni rahisi kubaini ikiwa programu inaweza kuwa na udhaifu kwani inahitaji kushughulikia aina hiyo ya data. Baadhi ya kazi maalum pia zinaweza kuwa na udhaifu ikiwa muundo maalum wa kuingiza unatumika (kama vile Kuingiza Vichwa vya Barua pepe).

• Deserialization

• Kuingiza Vichwa vya Barua pepe

• Udhaifu wa JWT

• XML External Entity

Faili

Kazi zinazoruhusu kupakia faili zinaweza kuwa na udhaifu wa masuala kadhaa. Kazi zinazozalisha faili ikiwa ni pamoja na kuingiza mtumiaji zinaweza kutekeleza msimbo usiotarajiwa. Watumiaji wanaofungua faili zilizopakiwa na watumiaji au zilizozalishwa kiotomatiki ikiwa ni pamoja na kuingiza mtumiaji wanaweza kuathirika.

• File Upload

• Kuingiza Formula

• Kuingiza PDF

• Server Side XSS

Usimamizi wa Utambulisho wa Nje

• OAUTH kwa Kuchukua Akaunti

• Mashambulizi ya SAML

Udhaifu Mwingine wa Msaada

Udhaifu huu unaweza kusaidia kutekeleza udhaifu mwingine.

• Kuchukua Domain/Subdomain

• IDOR

• Parameter Pollution

• Udhaifu wa Unicode Normalization