如何找到网站漏洞

Question

有没有人知道如何找到网站漏洞问题？ 像：

• 以用户测试身份登录以非管理员身份查找管理控制页面
• 让网站打印出错误的完整调试信息
• 使用第（1）部分中的不同方法，以user1@gmail.com
登录
• 使用XSS攻击打开一个弹出窗口，显示您的网站 choice1
• 描述如何使用类似的XSS攻击登录 管理员
• 让商店欠你的钱以用户admin登录
• 访问用户的购物篮，但未以该用户身份登录
• 描述可用于更改某人密码的CSRF攻击

非常感谢

Answer 1

Open Web Application Security Project维护了几个指南，描述了可以在Web应用程序上完成的攻击类型。您可能希望从以下开始：

• Getting Started Guide
• The Top 10 Guide记录了最常见的漏洞类型
• The Guide Project试图构建漏洞类的深入文档
• The Testing Project

此外，其他供应商也有自己的清单;例如，Microsoft has one that is no longer updated。