AWAE准备
使用hackthebox机器进行OSWE认证的AWAE课程准备
NetSecFocus准备列表
“ Fighter HTB”的升级脚本
WIP:Web应用程序审查的方法
待办事项:添加更多内容并重写其他内容
可见内容
浏览器代理(burpsuite,zap或其他)?
您可以跟踪提交的表单/数据吗? ViewState?
身份验证在哪里申请? 您可以轻松地在整个网站上“蜘蛛化”吗?
发现隐藏的内容
如果我们尝试访问不应访问的内容该怎么办? 任何明显的内容(管理员,配置,安装...)?
您可以识别隐藏的服务器端吗? 如果需要,对Web应用程序(Nikto或其他)进行枚举,这很有帮助。
测试调试参数
您可以触发某些功能/端点的隐藏调试参数吗?
您是否在响应中发现任何异常现象,可能表明添加的参数hs对网站有影响?
识别功能
什么是会话管理机制? 是否有任何访问控制或恢复功能(
评论0
最新资源