VORNAC RESEARCH
OWASP-nahe Schwachstellenklassen — von XSS bis Business-Logic-Fehlern.
Featured
Der kanonische Schwachstellenkatalog: jede Klasse mit mindestens einem konkreten Proof-Muster. Der meistreferenzierte Eintrag im Index.
Jede Schwachstellenklasse als Angriffs-/Verteidigungs-Paar, mit Briefing-Übersicht und den Protokoll-/Header-/Encoding-Punkten, an denen Schwächen wiederkehren.
Die vollständige XSS-Landschaft: reflected, stored, DOM, mutation. Sink-vs-Source-Strukturierung, CSP-/WAF-Bypass, Hook-and-Control-Muster und die Bedingungen unter denen Payloads wurmartig werden.
Server-side Request Forgery, XXE-Waffenbau und die Path-Traversal-Verwandten — Vektor-Enumeration, Blind-Channel-Exfiltration und Parser-Quirk-Routing.
Password-Recovery-Logikfehler, JWT-/CORS-/TLS-Architekturprobleme, die Arbeits-Top-10 der Business-Logic-Muster und wie eine echte Intrusion in Logs vs. Test-Traffic aussieht.
Referenz
Stack-spezifische Notizen zu Java und PHP — Deserialisierungs-Gadgets, EL-Injection, Tainted-Input-Flow — mit SQLmap-Operator-Flags und der OWASP-Testing-Checkliste.
Background
Angriffsfläche und Skill-Referenz pro Plattform: Android-Permission-Modell und APK-Static-/Dynamic-Attacks, iOS-Entitlement-Reasoning, macOS-TCC und codesign.
Von der Referenz zum Befund