如何接近Web应用程序？

Question

我在这个应用程序上做测试，如果我们只以登录url作为起点。

如何拓展我的视野？我想把我的表面弄得更宽一些，真的有点粘在这上面了。

Answer 1

看看OWASP ASVS，应用程序安全验证标准。它专注于web应用程序，并为您在渗透测试期间应该执行的安全测试提供了指导。特别是第V1.2章和V2章涵盖了在身份验证方面应该进行的广泛测试。请记住，其中一些不能执行黑匣子。

如果您实际被卡在登录表单上，我建议请您的客户提供有效的用户帐户。在您无法绕过的登录表单上进行渗透测试，不会为您的客户增加太多的价值，因此他应该很乐意为您提供帐户。