4. Web Pentesting

Description et Objectifs :

Le but est de trouver des failles, des défauts de configuration dans une application etc... Et ce afin de gagner un shell

Failles :

Les failles Web sont nombreuses et détecter quelle faille est présente.
On peut donc utiliser deux outils :

Arachni :

Def et Fonctionnement :

https://github.com/Arachni/arachni
Arachni est un scanner de vulnérabilités WEB. Le but de cet outil est de faire des analyses régulières pour voir l'évolution de l'application WEB pour voir l'apparition de failles WEB.

ZAP :

!ZAP#Def et fonctionnement

Pocs failles importantes :

Aussi voici des pocs et explications de failles WEB principales :
TOP10 Owasp

API - Attack
Clickjacking
CSP Bypass
CSRF
DDoS
File Inclusion Vulnerabilities
Injections
Security Missconfiguration
SSRF
XSS
XXE