С чего начать проверку сайта на уязвимости в тестовом окружении?
Кто как обычно проверяет свои проекты или стенды перед выкатом? Я обычно делаю стандартный набор простых тестов, чтобы понять, где могут быть дыры. Сначала смотрю на основные заголовки HTTP — чтобы не лезли лишние детали сервера, отключаю отображение ошибок, чтоб не светить пути. Потом проверяю на SQL-инъекцию — подставляю простые payload'ы в формы и параметры, смотрю, как сервер реагирует. Еще всегда гляжу на XSS — вставляю скрипты в поля ввода, проверяю вывод. Заглядываю в файлы конфигурации, ищу открытые панели админки или бекдоры (если такие есть). Для сложнее — смотрю, как настроена CSP, есть ли ограничения на загрузку скриптов и стилей. Интересно, кто какие готовые чек-листы или инструменты ставит на стенды? Может, кто держит под рукой что-то удобное, чтобы быстро пройтись и без лишней воды понять, что точно требует внимания?