Recon, fingerprinting, OWASP Top 10 e catene di exploit reali: tutto quello che ti serve per distruggere app web stile lab ed esami.
- Articoli
- 32+ Note
- Focus
- OSCP · Red Team
- Struttura
- Recon → Exploit
Web Hacking Articles
Filtri
web-hackingArbitrary File Read: Exploit, WAF Bypass e Cloud Takeover (Guida Pentesting 2026)
Arbitrary File Read exploit nel pentesting: leggere file sensibili Linux e Windows, bypass WAF, /proc/self/environ, credenziali cloud e escalation a cloud takeover.
web-hackingBrute Force Attack: Tecniche, Tool e Bypass nel Penetration Testing
Brute Force attack nel penetration testing: password cracking, credential stuffing, wordlist, Hydra, Burp Intruder e bypass rate limit nei sistemi di autenticazione.
web-hackingAPI Rate Limit Bypass: Tecniche di Pentesting per Bypassare il Throttling (2026)
API Rate Limit Bypass spiegato in modo operativo: header rotation con X-Forwarded-For, endpoint switching, HTTP method tampering, Unicode bypass, race condition e GraphQL batching.
web-hackingAPI Security: Guida Completa agli API Attacks e al Pentesting (SSRF, GraphQL, BOLA, CORS)
API security e penetration testing delle API moderne: SSRF, GraphQL attack, BOLA/IDOR, CORS misconfiguration, Mass Assignment e bypass rate limit. Guida completa con payload e tecniche reali.
web-hackingAPI Versioning Attack: Sfruttare Endpoint v1 Dimenticati nel Pentesting API (2026)
API Versioning Attack spiegato in modo operativo: come trovare endpoint API legacy v1, bypassare rate limit e autenticazione e sfruttare API deprecate durante un penetration test.
web-hackingSQL Injection su API REST e GraphQL: JSON Body, Header Injection e SQLMap (Guida 2026)
SQL Injection su API REST: JSON body injection, GraphQL SQLi, header injection e bypass WAF. Guida pratica con SQLMap, fuzzing API e exploitation reale.
web-hackingSQL Injection su ORM: Django, Laravel, Hibernate e Sequelize
SQL Injection su ORM: vulnerabilità in Django, Laravel, Hibernate e Sequelize. Raw query, extra(), orderByRaw e exploitation reale con esempi pratici.
web-hackingSQL Injection Time-Based: Come Estrarre Dati Senza Output
Time-Based SQL Injection spiegata con payload reali: SLEEP, pg_sleep, WAITFOR DELAY, heavy query, script Python e SQLMap. Guida completa exploitation 2026.
web-hackingBlind SQL Injection: Extraction Boolean-Based con SQLMap (Guida 2026)
Blind SQL Injection: detection boolean-based, extraction con SUBSTRING e ASCII, binary search e automazione completa con SQLMap per dump database, credenziali e escalation.
web-hackingSQL Injection Classica: UNION SELECT ed Error-Based (Guida Operativa 2026)
SQL Injection Classica (In-Band): guida pratica a UNION SELECT ed Error-Based con ORDER BY, data extraction, bypass WAF, SQLMap e dump completo del database passo passo.
web-hackingSQL Injection: Guida Completa al Pentesting (2026) con Exploitation Reale e RCE
SQL Injection (SQLi): guida completa al pentesting con tutte le tecniche (Union, Blind, Time-Based), SQLMap, bypass WAF, RCE, escalation a Domain Admin e attacchi reali su API e ORM.
web-hackingPhishing: Tecniche, Tipologie e Difese nel 2026
Phishing spiegato in modo tecnico: spear phishing, credential harvesting, OAuth phishing, MFA bypass e difese pratiche per aziende e utenti.
web-hackingS3Scanner: Enumerazione e Misconfiguration Detection su Amazon S3
S3Scanner: Enumerazione e Misconfiguration Detection su Amazon S3
web-hackingRecon-ng: Framework OSINT Modulare per Reconnaissance Avanzata
Recon-ng è un framework OSINT modulare con interfaccia stile Metasploit. Ideale per raccolta automatizzata di domini, email e asset esterni.
web-hackingReconSpider: Automated Web Recon e OSINT Crawler
ReconSpider è uno strumento di web reconnaissance che raccoglie email, metadati e informazioni pubbliche tramite crawling automatico.
web-hackingNuclei: Vulnerability Scanner Template-Based ad Alta Velocità
Nuclei: Vulnerability Scanner Template-Based ad Alta Velocità
web-hackingNikto: Web Server Scanner per Vulnerabilità e Misconfiguration
Nikto è uno scanner web per individuare vulnerabilità note, file sensibili, configurazioni errate e software obsoleto su server HTTP/HTTPS.
web-hackingEyewitness: Visual Recon e Screenshot Automation per Triage Web su larga scala
Eyewitness automatizza screenshot e analisi di servizi web e RDP. Visual recon rapida per identificare pannelli admin e superfici d’attacco esposte.
web-hackingFeroxbuster: Directory Bruteforcing Veloce e Ricorsivo per Web Hacking
Feroxbuster è uno strumento ad alte prestazioni per directory e content discovery. Bruteforce ricorsivo, multi-thread e supporto proxy per test web avanzati.
web-hackingFOCA: Metadata Extraction e OSINT su Documenti per Information Gathering
FOCA è uno strumento OSINT per estrarre metadata da documenti pubblici, mappare infrastruttura interna e identificare utenti, server e percorsi esposti.
web-hackingGitrob: OSINT e Secret Discovery su Repository GitHub
Gitrob analizza repository GitHub per individuare file sensibili e credenziali esposte. Strumento utile in fase di reconnaissance e secret hunting.
web-hackingGophish: Phishing Framework per Simulation e Red Team
Gophish è una piattaforma open-source per phishing simulation e red team engagement. Campaign management, tracking e reporting centralizzato.
web-hackingAmass: Subdomain Enumeration Avanzata per Reconnaissance e Attack Surface Mapping
Amass è uno strumento OSINT e active reconnaissance per enumerare subdomain, mappare asset esterni e analizzare relazioni DNS. Guida pratica all’uso in fase di attack surface discovery durante un penetration test.
web-hackingAquatone: Visual Recon e Screenshot Automatici per Subdomain Enumeration
Aquatone è un tool di visual reconnaissance che cattura screenshot automatici di host e subdomain scoperti durante la fase di recon. Ideale per mappare rapidamente superfici web in penetration test.
web-hackingDirsearch: Directory e File Enumeration per Web Application Testing
Dirsearch è uno strumento per enumerare directory e file nascosti su applicazioni web tramite wordlist personalizzate. Guida pratica all’uso in fase di web reconnaissance durante un penetration test.
web-hackingGobuster: Directory, DNS e Virtual Host Bruteforcing per Web Enumeration
Gobuster è uno strumento veloce per brute-force di directory, DNS e virtual host. Guida pratica all’uso in fase di web enumeration durante un penetration test.
web-hackingBeEF: Guida Completa al Browser Exploitation Framework
Guida pratica BeEF per browser exploitation: hook vittime, controllo browser compromessi e post-exploitation client-side. Trasforma XSS in accesso persistente.
web-hackingBurp Suite: Guida Completa per Web Application Penetration Testing
Burp Suite guida pratica al web application penetration testing: Proxy, Repeater, Intruder, SQLi, XSS, CSRF e API exploitation reali.
web-hackingSQLMap: Guida Completa alla SQL Injection Automation e Database Exploitation
Guida completa a SQLMap per SQL injection automation: detection, exploitation, database enumeration, WAF bypass e tecniche UNION, boolean e time-based.
web-hackingXSS (Cross-Site Scripting): Exploit Web, Payload e Bypass Avanzati
XSS guida pratica a reflected, stored e DOM-based injection: payload avanzati, filter bypass e sfruttamento reale in web application.
web-hacking10 Attacchi JWT per Ethical Hacker: Guida Pratica alle Vulnerabilità
Scopri le 10 vulnerabilità JWT più critiche per l'ethical hacking. Guida pratica con comandi, strumenti e tecniche di penetration test per testare la sicurezza delle autenticazioni.
web-hackingWordPress xmlrpc.php: Attacchi, Exploit e Tecniche di Pentesting (Guida Offensiva 2026)
Scopri come sfruttare xmlrpc.php su WordPress in un pentest: multicall brute force, attacchi pingback, user enumeration e tecniche di hardening. Workflow pratico per lab HTB e OSCP.