对于静态 Web 应用程序，您应该考虑和不应该考虑一些事情（这并非详尽无遗）：

对于应该：

• 目录遍历：有没有可以访问的目录？这些是故意的吗？
• 检查元素：开发人员或类似人员是否在客户端返回的 HTML 中留下任何评论？
• 服务器版本：尽管是静态的，但仍然需要托管它！nginx/apache 过时了吗？
• 主机设置：主机是否转到域名（信任）并且端口是否限制在绝对必要的范围内？
• SSL 证书：（已更正）虽然 HTTPS 在静态站点上的价值很小，但它是 2021 年的基线要求。请参见此处。

对于不应该：

• 注入：如果是静态的，应该没有注入的地方。
• 访问管理：不处理帐户。

如果我处于读者的位置，我会确认应用程序是静态的，写一个最小的报告，并快速交付。我鼓励读者将Web 安全测试指南 (WSTG) 应用到他们正在做的事情中，只选择适用的测试步骤。

您需要查找 Web 服务器、缓存系统以及反向代理中的漏洞。

我建议您观看 James Kettle 的演讲以了解 HTTP 攻击面：

• 破解镜头：针对 HTTP 的隐藏攻击面
• HTTP 异步攻击：请求走私重生
• Web 缓存纠缠：中毒的新途径

您还可以查找敏感文件/目录，例如备份文件.git，Dockerfile或.env使用dirsearch等工具。你也可以使用fuzz.txt作为字典。

并且还要寻找客户端漏洞，例如基于 DOM 的 XSS和客户端模板注入。BurpSuite 具有有用的分析来查找基于 DOM 的 XSS，大多数情况下是误报，但偶尔是有效的；）

如果您的目标使用 WebAssembly，您可以查找其漏洞，例如导致 XSS 的 BOF。

观看有关 WebAssembly 漏洞利用的视频：WebAssembly 浏览器上原生漏洞利用的新世界