gitextract_4r9qpmgc/ ├── .editorconfig ├── .gitattributes ├── .github/ │ ├── FUNDING.yml │ ├── ISSUE_TEMPLATE/ │ │ ├── broken_link.md │ │ ├── feature_request.md │ │ ├── fix-request.md │ │ └── new-content.md │ ├── actions/ │ │ └── get-changed-files/ │ │ └── action.yml │ ├── configs/ │ │ ├── .markdownlint.json │ │ ├── .textlintrc.json │ │ └── markdown-link-check-config.json │ ├── dependabot.yml │ ├── epub/ │ │ ├── README.md │ │ ├── assets/ │ │ │ └── epub-style.css │ │ └── scripts/ │ │ └── make-epub.sh │ ├── json/ │ │ └── scripts/ │ │ └── make-json.sh │ ├── pdf/ │ │ ├── README.md │ │ ├── assets/ │ │ │ └── pdf-style.css │ │ ├── pdf-config.json │ │ └── scripts/ │ │ └── make-pdf.sh │ ├── pull_request_template.md │ ├── workflows/ │ │ ├── README.md │ │ ├── build-checklists.yml │ │ ├── build-ebooks.yml │ │ ├── clean-workflow-runs.yml │ │ ├── comment.yml │ │ ├── dummy.yml │ │ ├── md-link-check-full.yml │ │ ├── md-link-check.yml │ │ ├── md-lint-check.yml │ │ ├── md-textlint-check.yml │ │ ├── scripts/ │ │ │ ├── README.md │ │ │ └── format_lint_output.py │ │ ├── www_latest_update.yml │ │ └── www_stable_update.yml │ ├── www/ │ │ ├── README.md │ │ ├── assets/ │ │ │ └── README.md │ │ ├── latest/ │ │ │ ├── README.md │ │ │ ├── info.md │ │ │ ├── prepend.nav │ │ │ └── prepend.txt │ │ ├── stable/ │ │ │ ├── README.md │ │ │ ├── info.md │ │ │ ├── prepend.nav │ │ │ └── prepend.txt │ │ ├── v41/ │ │ │ ├── README.md │ │ │ ├── info.md │ │ │ ├── prepend.nav │ │ │ └── prepend.txt │ │ ├── v42/ │ │ │ ├── README.md │ │ │ ├── info.md │ │ │ ├── prepend.nav │ │ │ └── prepend.txt │ │ └── v43/ │ │ ├── README.md │ │ ├── info.md │ │ ├── prepend.nav │ │ └── prepend.txt │ └── xlsx/ │ ├── README.md │ ├── assets/ │ │ └── checklist-template.xlsx │ └── scripts/ │ ├── build-checklist.py │ ├── create-google-drive-cred.py │ └── upload-to-google-drive.py ├── .gitignore ├── .vscode/ │ ├── extensions.json │ └── settings.json ├── CODE_OF_CONDUCT.md ├── CONTRIBUTING.md ├── LICENSE ├── README.md ├── REST_CS_Migrate.md ├── SECURITY.md ├── Testing_for_APIs.md ├── checklists/ │ ├── README.md │ ├── WSTG-Checklist_v4.2.xlsx │ ├── checklist.json │ ├── checklist.md │ └── checklist.xlsx ├── document/ │ ├── 0-Foreword/ │ │ └── README.md │ ├── 1-Frontispiece/ │ │ └── README.md │ ├── 2-Introduction/ │ │ └── README.md │ ├── 3-The_OWASP_Testing_Framework/ │ │ ├── 0-The_Web_Security_Testing_Framework.md │ │ ├── 1-Penetration_Testing_Methodologies.md │ │ └── README.md │ ├── 4-Web_Application_Security_Testing/ │ │ ├── 00-Introduction_and_Objectives/ │ │ │ └── README.md │ │ ├── 01-Information_Gathering/ │ │ │ ├── 01-Conduct_Search_Engine_Discovery_Reconnaissance_for_Information_Leakage.md │ │ │ ├── 02-Fingerprint_Web_Server.md │ │ │ ├── 03-Review_Webserver_Metafiles_for_Information_Leakage.md │ │ │ ├── 04-Attack_Surface_Identification.md │ │ │ ├── 05-Review_Web_Page_Content_for_Information_Leakage.md │ │ │ ├── 06-Identify_Application_Entry_Points.md │ │ │ ├── 07-Map_Execution_Paths_Through_Application.md │ │ │ ├── 08-Fingerprint_Web_Application_Framework.md │ │ │ ├── 09-Fingerprint_Web_Application.md │ │ │ ├── 10-Map_Application_Architecture.md │ │ │ └── README.md │ │ ├── 02-Configuration_and_Deployment_Management_Testing/ │ │ │ ├── 01-Test_Network_Infrastructure_Configuration.md │ │ │ ├── 02-Test_Application_Platform_Configuration.md │ │ │ ├── 03-Test_File_Extensions_Handling_for_Sensitive_Information.md │ │ │ ├── 04-Review_Old_Backup_and_Unreferenced_Files_for_Sensitive_Information.md │ │ │ ├── 05-Enumerate_Infrastructure_and_Application_Admin_Interfaces.md │ │ │ ├── 06-Test_HTTP_Methods.md │ │ │ ├── 07-Test_HTTP_Strict_Transport_Security.md │ │ │ ├── 08-Test_RIA_Cross_Domain_Policy.md │ │ │ ├── 09-Test_File_Permission.md │ │ │ ├── 10-Test_for_Subdomain_Takeover.md │ │ │ ├── 11-Test_Cloud_Storage.md │ │ │ ├── 12-Test_for_Content_Security_Policy.md │ │ │ ├── 13-Test_for_Path_Confusion.md │ │ │ ├── 14-Test_Other_HTTP_Security_Header_Misconfigurations.md │ │ │ └── README.md │ │ ├── 03-Identity_Management_Testing/ │ │ │ ├── 01-Test_Role_Definitions.md │ │ │ ├── 02-Test_User_Registration_Process.md │ │ │ ├── 03-Test_Account_Provisioning_Process.md │ │ │ ├── 04-Testing_for_Account_Enumeration_and_Guessable_User_Account.md │ │ │ ├── 05-Testing_for_Weak_or_Unenforced_Username_Policy.md │ │ │ └── README.md │ │ ├── 04-Authentication_Testing/ │ │ │ ├── 01-Testing_for_Credentials_Transported_over_an_Encrypted_Channel.md │ │ │ ├── 02-Testing_for_Default_Credentials.md │ │ │ ├── 03-Testing_for_Weak_Lock_Out_Mechanism.md │ │ │ ├── 04-Testing_for_Bypassing_Authentication_Schema.md │ │ │ ├── 05-Testing_for_Vulnerable_Remember_Password.md │ │ │ ├── 06-Testing_for_Browser_Cache_Weaknesses.md │ │ │ ├── 07-Testing_for_Weak_Authentication_Methods.md │ │ │ ├── 08-Testing_for_Weak_Security_Question_Answer.md │ │ │ ├── 09-Testing_for_Weak_Password_Change_or_Reset_Functionalities.md │ │ │ ├── 10-Testing_for_Weaker_Authentication_in_Alternative_Channel.md │ │ │ ├── 11-Testing_Multi-Factor_Authentication.md │ │ │ └── README.md │ │ ├── 05-Authorization_Testing/ │ │ │ ├── 01-Testing_Directory_Traversal_File_Include.md │ │ │ ├── 02-Testing_for_Bypassing_Authorization_Schema.md │ │ │ ├── 03-Testing_for_Privilege_Escalation.md │ │ │ ├── 04-Testing_for_Insecure_Direct_Object_References.md │ │ │ ├── 05-Testing_for_OAuth_Weaknesses.md │ │ │ ├── 05.1-Testing_for_OAuth_Authorization_Server_Weaknesses.md │ │ │ ├── 05.2-Testing_for_OAuth_Client_Weaknesses.md │ │ │ └── README.md │ │ ├── 06-Session_Management_Testing/ │ │ │ ├── 01-Testing_for_Session_Management_Schema.md │ │ │ ├── 02-Testing_for_Cookies_Attributes.md │ │ │ ├── 03-Testing_for_Session_Fixation.md │ │ │ ├── 04-Testing_for_Exposed_Session_Variables.md │ │ │ ├── 05-Testing_for_Cross_Site_Request_Forgery.md │ │ │ ├── 06-Testing_for_Logout_Functionality.md │ │ │ ├── 07-Testing_Session_Timeout.md │ │ │ ├── 08-Testing_for_Session_Puzzling.md │ │ │ ├── 09-Testing_for_Session_Hijacking.md │ │ │ ├── 10-Testing_JSON_Web_Tokens.md │ │ │ ├── 11-Testing_for_Concurrent_Sessions.md │ │ │ └── README.md │ │ ├── 07-Input_Validation_Testing/ │ │ │ ├── 01-Testing_for_Reflected_Cross_Site_Scripting.md │ │ │ ├── 02-Testing_for_Stored_Cross_Site_Scripting.md │ │ │ ├── 03-Testing_for_HTTP_Verb_Tampering.md │ │ │ ├── 04-Testing_for_HTTP_Parameter_Pollution.md │ │ │ ├── 05-Testing_for_SQL_Injection.md │ │ │ ├── 05.1-Testing_for_Oracle.md │ │ │ ├── 05.2-Testing_for_MySQL.md │ │ │ ├── 05.3-Testing_for_SQL_Server.md │ │ │ ├── 05.4-Testing_PostgreSQL.md │ │ │ ├── 05.5-Testing_for_MS_Access.md │ │ │ ├── 05.6-Testing_for_NoSQL_Injection.md │ │ │ ├── 05.7-Testing_for_ORM_Injection.md │ │ │ ├── 05.8-Testing_for_Client-side.md │ │ │ ├── 06-Testing_for_LDAP_Injection.md │ │ │ ├── 07-Testing_for_XML_Injection.md │ │ │ ├── 08-Testing_for_SSI_Injection.md │ │ │ ├── 09-Testing_for_XPath_Injection.md │ │ │ ├── 10-Testing_for_IMAP_SMTP_Injection.md │ │ │ ├── 11-Testing_for_Code_Injection.md │ │ │ ├── 11.1-Testing_for_File_Inclusion.md │ │ │ ├── 12-Testing_for_Command_Injection.md │ │ │ ├── 13-Testing_for_Buffer_Overflow.md │ │ │ ├── 13-Testing_for_Format_String_Injection.md │ │ │ ├── 14-Testing_for_Incubated_Vulnerability.md │ │ │ ├── 15-Testing_for_HTTP_Response_Splitting.md │ │ │ ├── 16-Testing_for_HTTP_Request_Smuggling.md │ │ │ ├── 17-Testing_for_Host_Header_Injection.md │ │ │ ├── 18-Testing_for_Server-side_Template_Injection.md │ │ │ ├── 19-Testing_for_Server-Side_Request_Forgery.md │ │ │ ├── 20-Testing_for_Mass_Assignment.md │ │ │ ├── 21-Testing_for_CSV_Injection.md │ │ │ └── README.md │ │ ├── 08-Testing_for_Error_Handling/ │ │ │ ├── 01-Testing_For_Improper_Error_Handling.md │ │ │ ├── 02-Testing_for_Stack_Traces.md │ │ │ └── README.md │ │ ├── 09-Testing_for_Weak_Cryptography/ │ │ │ ├── 01-Testing_for_Weak_Transport_Layer_Security.md │ │ │ ├── 02-Testing_for_Padding_Oracle.md │ │ │ ├── 03-Testing_for_Sensitive_Information_Sent_via_Unencrypted_Channels.md │ │ │ ├── 04-Testing_for_Weak_Cryptographic_Primitives.md │ │ │ └── README.md │ │ ├── 10-Business_Logic_Testing/ │ │ │ ├── 00-Introduction_to_Business_Logic.md │ │ │ ├── 01-Test_Business_Logic_Data_Validation.md │ │ │ ├── 02-Test_Ability_to_Forge_Requests.md │ │ │ ├── 03-Test_Integrity_Checks.md │ │ │ ├── 04-Test_for_Process_Timing.md │ │ │ ├── 05-Test_Number_of_Times_a_Function_Can_Be_Used_Limits.md │ │ │ ├── 06-Testing_for_the_Circumvention_of_Work_Flows.md │ │ │ ├── 07-Test_Defenses_Against_Application_Misuse.md │ │ │ ├── 08-Test_Upload_of_Unexpected_File_Types.md │ │ │ ├── 09-Test_Upload_of_Malicious_Files.md │ │ │ ├── 10-Test-Payment-Functionality.md │ │ │ └── README.md │ │ ├── 11-Client-side_Testing/ │ │ │ ├── 01-Testing_for_DOM-based_Cross_Site_Scripting.md │ │ │ ├── 01.1-Testing_for_Self_DOM_Based_Cross_Site_Scripting.md │ │ │ ├── 02-Testing_for_JavaScript_Execution.md │ │ │ ├── 03-Testing_for_HTML_Injection.md │ │ │ ├── 04-Testing_for_Client-side_URL_Redirect.md │ │ │ ├── 05-Testing_for_CSS_Injection.md │ │ │ ├── 06-Testing_for_Client-side_Resource_Manipulation.md │ │ │ ├── 07-Testing_Cross_Origin_Resource_Sharing.md │ │ │ ├── 08-Testing_for_Cross_Site_Flashing.md │ │ │ ├── 09-Testing_for_Clickjacking.md │ │ │ ├── 10-Testing_WebSockets.md │ │ │ ├── 11-Testing_Web_Messaging.md │ │ │ ├── 12-Testing_Browser_Storage.md │ │ │ ├── 13-Testing_for_Cross_Site_Script_Inclusion.md │ │ │ ├── 14-Testing_for_Reverse_Tabnabbing.md │ │ │ ├── 15-Testing_for_Client-Side_Template_Injection.md │ │ │ └── README.md │ │ ├── 12-API_Testing/ │ │ │ ├── 00-API_Testing_Overview.md │ │ │ ├── 01-API_Reconnaissance.md │ │ │ ├── 02-API_Broken_Object_Level_Authorization.md │ │ │ ├── 03-Testing_for_Excessive_Data_Exposure.md │ │ │ ├── 99-Testing_GraphQL.md │ │ │ └── README.md │ │ └── README.md │ ├── 5-Reporting/ │ │ ├── 01-Reporting_Structure.md │ │ ├── 02-Naming_Schemes.md │ │ └── README.md │ ├── 6-Appendix/ │ │ ├── A-Testing_Tools_Resource.md │ │ ├── B-Suggested_Reading.md │ │ ├── C-Fuzzing.md │ │ ├── D-Encoded_Injection.md │ │ ├── E-History.md │ │ ├── F-Leveraging_Dev_Tools.md │ │ └── README.md │ └── README.md ├── package.json ├── style_guide.md └── template/ ├── 999-Foo_Testing/ │ ├── 1-Testing_for_a_Cat_in_a_Box.md │ ├── 2-Template_Explanation.md │ └── 3-Format_for_HTTP_Request_Response.md └── README.md