Bir şey sorucam bir siteyi en doğru sonucu elde ederek nasıl tararız. ZAP , Skipfish , netsparker vb. otomatik tarama programlarında oldukça yüksek folse pozitive oluyor o yüzden manuel olarak test etmeliyim. Ancak nasıl tespit edersem edeyim işe yaramıyor. Yüzlerce payload denememe rağmen XSS alert vermiyor ,SQL yarıda critical diyerek programı sonlandırıyor , Burpsuite ile saldırı başarılı olmuyor ,Shellshock başarısız oluyor, MITM ile ilgili hiç bir program hata vermeden çalışmıyor , XXE başarısız oluyor , Command injeckt kodu yürütmüyor vb. ama hackerone da bakıyorum insanların her biri yüzlerce kez açık bulmuş ve rapor kabul edilmiş. Hangi URL sine saldırırsam saldırayım hep başarısız oluyor. Son çare olarak tüm payload ve exploitleri otomatik olarak denemeyi denedim ki benim bildiğim bir tek armitagé var oda sıkıntı çıkardı. Yani anlayacağın hep bir sıkıntı çıkıyor nasıl o kadar çok açık buluyorlar. Yardımcı olursanız çooook sevinirim
-------------------------------------------------------------------------
Ugroon
-------------------------------------------------------------------------
Ugroon