如何发现网站漏洞

Question

有谁知道如何查找网站漏洞问题？ 例如：

• 以测试用户身份登录 以非管理员用户身份查找管理控制页面
• 获取网站以打印错误的完整调试信息
• 使用与第 (1) 部分不同的方法，以 [电子邮件受保护]
• 使用 XSS 攻击打开一个弹出窗口，显示您的网站 choice1
• 描述如何使用类似的 XSS 攻击来登录 admin
• 让商店欠你钱 以用户 admin 身份登录
• 访问用户的购物篮，但未以该用户身份登录
• 描述可用于更改某人密码的 CSRF 攻击

非常感谢

Answer 1

开放 Web 应用程序安全项目 维护了多个指南，描述了可以对网络应用程序。您可能需要从以下内容开始：

• 入门指南
• 十大指南，其中记录了最常见的漏洞类型
• 指南项目，它试图构建漏洞类的深入文档
• 测试项目

此外，其他供应商也有自己的列表；例如，Microsoft 有一个不再更新的。