Статья Методика быстрой проверки веб приложения

lukeone

Магистр
Администратор
hackerville
Сообщения
20
Реакции
17
Если у вас много веб приложений и нужно пройтись по всем, при этом нет времени по неделям или месяцам сидеть и долбить абсолютно каждый запрос, то самый простой вариант выполнить основные действия для проверок и переходить к следующему:
  • python sublist3r.py -d domain.com \ dnstrails(trial) поиск поддоменов (далее выполняем действия для каждого рабочего поддомена)
  • nmap domain.com -sV -v -O -A -sT
  • dirb domain.com \ python3 dirsearch.py -u "domain.com" -e php,aspx,zip,rar,exe
  • Acunetix (желательно фул скан, если сайт большой, обязательно сделать свой конфиг под информацию типа file upload и high risk)
  • BurpSuite запустить crawl + во время скана, если есть такая возможность авторизоваться \ зарегаться и собрать все параметры1642500286644.png1642500345492.png
  • Если есть такая возможность определить WAF
На этом этап сбора инфы закончен. После того, как вы получили сведения о веб приложении, приступаете уже к привычному тестированию.

п.с. Я не зставляю использовать вас конкретно эти инструменты, можете юзать и дирбастеры вместо дирба и другие сканеры... Здесь описаны инструменты, которые я использую для быстрого чека веб приложения.