# Web Pentest Checklist ### Otamatize * Acunetix * Burp Active Scan * Nessus * Qualys ### Server * [Missing Security Headers](https://securityheaders.com/) * [IIS Tilde](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/server-zafiyetleri/iis-tilde) * [Version Disclosure](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/misconfigurations-zafiyetleri/version-disclosure) * [Directory Listing](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/server-zafiyetleri/directory-listing) * [Unsafe HTTP Methods](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/server-zafiyetleri/unsafe-http-method) - [ ] Dirsearch - [ ] Burp Find Comments - [ ] SSL/TLS ### Input Zafiyetleri * [SQL Injection](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/sql-injection) * [NoSQL Injection](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/nosql-injection) * [XSS](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/xss) * [OS Command Injection](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/os-command-injection) * [SSTI](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/ssti) * [XXE Injection](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/xxe-injection) * [SSRF](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/ssrf) * [CSRF](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/mantiksal-zafiyetler/csrf) * [LFI/RFI](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/path-traversal) * [Directory Traversal](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/directory-traversal) * [Insecure Deserialization](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/insecure-deserialization) * [HTTP Paramater Pollution](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/mantiksal-zafiyetler/http-parameter-pollution) * [File Upload](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/mantiksal-zafiyetler/file-upload) * [Open Redirect](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/input-zafiyetleri/open-redirect) ### Mantıksal Zafiyetler * [HTTP Request Smuggling](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/server-zafiyetleri/http-request-smuggling) * [Race Condition](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/mantiksal-zafiyetler/race-conditions) * [Web Cache Poisoning](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/server-zafiyetleri/web-cache-poisoning) * Detaylı Hata Mesajları * Type Juggling * CRLF Injection (%0D%0A) * UUID Version 1 Kullanımı * Business Logic ### Authantication (Kimlik Doğrulama) * Captcha Bypass - [ ] Rate Limit (Login, MFA, Password Reset vb kritik işlemler) - [ ] Rate Limit Bypass Headers (X-Forwarded-For gibi) - [ ] Response Code Manipulation - [ ] Username Enumeration - [ ] Response Time (Cok uzun parola ile username bruteforce) - [ ] OAUTH Zafiyetleri - [ ] Password Reset Host Header Poisoning - [ ] Password Reset Tahmin Edilebilir Token - [ ] Password Reset Expire Oluyor Mu ### Authorization (Yetkilendirme) * [ ] IDOR * [ ] Anonim Erişilebilen Kritik Endpointler * [ ] Broken Access Control * [ ] 403 Bypass * [ ] [CORS](https://yigitsengezer.gitbook.io/siber-guvenlik-notlari/web-application-pentesting/authorization-zafiyetleri/cors-misconfiguration) ### Session * [ ] JWT * [ ] Session Çerezlerinde HTTP Only ve Secure Flaglari * [ ] Session bilgisi URL de gözükmesi