Dit is mijn startpunt voor de HOWEST Web Pentesting Fundamentals-notities. Het is geen strikte volgorde, maar een sanity map: eerst breed kijken, daarna doorklikken naar de notitie die past bij het signaal dat opduikt.
HOWEST overzicht
Terug naar alle HOWEST-vakken en hubs.
Start hier
Baseline
Open de applicatie, klik de normale flow door en laat Burp of DevTools de requests verzamelen.
Recon
Kijk naar broncode, JavaScript, headers, cookies, storage,
robots.txt, sitemap.xml, errors en verborgen paden.State en identity
Let op sessies, rollen, user IDs, order IDs, basket IDs, hidden fields en client-side waarden.
Input
Verzamel plekken waar input verwerkt wordt: login, search, filters, URL-parameters, JSON bodies, uploadvelden en file parameters.
Eerste checks
Wat draait hier?
Broncode, JS-bestanden, headers, cookies, storage, file extensions, errors en encoded waarden.
Hoe werkt login/state?
Loginflow, username enumeration, resetflow, 2FA, default credentials en fuzzing-signalen.
Wie mag welke data zien?
IDOR, hidden fields, role cookies, adminroutes, directory listing, traversal en
.git.Vertrouwt de app client-side data?
Cookies, roles, tokens, session IDs, outdated components, exposed files en CORS.
Praat input met een database?
SQL errors, boolean verschillen, login bypass, UNION, blind SQLi en SQLmap.
Komt input terug in HTML of JS?
HTML-context, attributen, DOM sources, sinks, filters en payloadkeuze.
Raakt input files of commands?
Command injection, LFI, upload-bypass, web shell, HTTP PUT en CSRF.
Signaal naar notitie
| Als ik dit zie | Dan kijk ik hier |
|---|---|
| Geen idee welke technologie draait | Web fingerprinting & recon |
| Interessante comments, routes of API-paden in JavaScript | JavaScript en verborgen paden |
Custom headers, Server, X-Powered-By of opvallende cookies | Headers en cookies |
| Lange encoded waarde, BASE64, hex of rare cookie | Encoding herkennen |
Cookie bevat role, admin, user ID of leesbare velden | Client-side trust |
| Session ID lijkt oplopend, time-based of voorspelbaar | Voorspelbare session IDs |
| Loginresponse verschilt tussen bestaande en niet-bestaande user | Broken authentication |
| Veel directories, users of passwords om te proberen | ffuf-parameters |
| Resetflow of 2FA lijkt te vertrouwen op parameters/cookies | Reset en 2FA checks |
URL/body bevat id, orderID, basket, profile of user | Broken access control |
| Adminwaarde staat in cookie, hidden field of URL-parameter | Client-side controls |
Directory listing, backup file, .git, .bak, .old | Info disclosure bronnen |
| Een quote geeft SQL error of true/false verschil | SQL injection detectie |
| Queryresultaten lijken uitbreidbaar met extra data | UNION en database-enumeratie |
| Volledige request is makkelijker dan losse parameters | SQLmap parameters |
| Input verschijnt terug in HTML, attribuut of JavaScript | XSS testplekken |
DOM code gebruikt innerHTML, document.write of eval | DOM sources en sinks |
Parameter heet file, page, template of lijkt een pad te laden | LFI en file parameters |
| Input gaat naar ping, lookup, grep of een shellachtig commando | Command injection |
| Upload controleert extensie, MIME type of filename | Upload-bypass |
| Actie gebeurt via link, knop of request met bestaande sessie | CSRF |
| CMS/libraryversie is zichtbaar | Outdated components |
Origin en CORS headers vallen op | CORS misconfiguratie |
Toolkeuze
Burp Suite
Baseline requests, HTTP history, Repeater, cookies, hidden fields en requestvergelijking.
DevTools
Broncode, Console, Network, Sources, Application, cookies en Local/Session Storage.
ffuf
Wordlists voor directories, users, passwords, parameters en response-size filtering.
CyberChef / Decoder
BASE64, hex, URL encoding, HTML entities, Unicode en dubbele encoding.
SQLmap
Database-enumeratie wanneer SQLi-signalen duidelijk genoeg zijn.
curl
Handmatige headers, cookies, PUT-requests en snelle HTTP-tests.
Onderwerpen
Mockexamen
Overzicht van de mockexamen vragen met telkens dezelfde zoekstructuur per oplossing.
Web fingerprinting & recon
Technologie, routes, headers, cookies, verborgen bestanden en encoded waarden.
Broken authentication & fuzzing
Zwakke logins, username enumeration, password reset-fouten, 2FA-bypasses en ffuf.
Broken access control & info disclosure
IDOR, client-side bypasses, cookies, directory listing, traversal, backups en
.git.Insecure design
Client-side trust, cookies, tokens, outdated components en CORS.
SQL injection & SQLmap
SQLi, UNION-payloads en database-enumeratie met SQLmap.
XSS & DOM-based attacks
HTML-context, filters, DOM sources, gevaarlijke sinks en payloadkeuze.
CSRF, code injection & RCE
CSRF, command injection, LFI, upload-bypasses, web shells en HTTP PUT.