Взлом Web приложений
Фаззинг
Fuff FFUF легко адаптируется к внешнему инструментарию. Подставляет наборы из словарей в соответ...
Направления
Способы атаки Как ведет приложение при запросах отсутствующих страниц? Список существующих en...
Тестовые стенды
OWASP Juice Shop Образ docker https://hub.docker.com/r/bkimminich/juice-shop # Запуск последней...
Уязвимости механизмов авторизации
Классификация по типам проверки подлинности: Знание (пароль или ответ на вопрос безопасности, ...
Уязвимости инъекции команд ОС
Инъекция команд ОС (shell инъекция) позволяет выполнять произвольные команды ОС на сервере, и обы...
Уязвимости контроля доступа
Варианты: Аутентификация идентифицирует пользователя и подтверждает, что он является тем, за к...
Файлы и каталоги
Обход файловых путей (англ. Path Traversal или Directory Traversal) – это уязвимость веб-безопасн...
SQL-инъекции
Позволяет вмешиваться в запросы, которые приложение делает к своей базе данных. В частности, могу...
Внедрение внешних сущностей XML
Внешние сущности XML — это тип пользовательских сущностей XML, определенные значения которых загр...
Межсайтовый скриптинг (XSS)
Уязвимость, позволяющая скомпрометировать взаимодействие пользователей с уязвимым приложением. Он...
Burp
Открытые курсы по Burp от разработчиков. Структура сканера Процесс прохождения пакета и точки н...
Nikto, nuclei и др.
Коммерческие: acunetix netsparker IBM AppScan WebInspect Бесплатные: OWASP Zap W3af ...
HTTP request smuggling
Внедрение в последовательность http запросов. Может быть критичной для HTTP/1, может работать и д...