Checklist

Low Hanging Fruits - Tools

• Executar low hanging fruits

• Nmap

• ffuf

• Nuclei

• Katana

• wafw00f

• Fuzzuli

Low Hanging Fruits - Checklist

• Ausência de cabeçalho

• Uso de cabeçalho depreciado

• Js.map

• Integrity

• SSL/TLS

• Vulnerabilidade da versão do server

• Possibilidade de clickjacking

• Portas abertas

• Nuclei / Katana

• Fuzzuli

• Mensagem de erros

• Utilizar bibliotecas JavaScript desatualizadas

• Enumeração de usuários

• Ausência de mecanismo contra força bruta

• Host header injection

• Exposição de chaves API

• Redirecionamento HTTP para HTTPS

• Acesso via IP diretamente

• Listagem de diretórios

• Gerenciamento de patch insuficiente

• Ausência do arquivo robots.txt

• Ausência de WAF

• CORS Misconfiguration

• Ausência de segundo fator de autenticação no procedimento de login

• Roubo de conta através de redefinição de senha

• Validação de credenciais exfiltradas por infostealer