Мой вариант(переработка соответствующей статьи на овасп, хабре и др.), кратко.
Определяем ip ресурса
Определяем сайты на одном ip
Если за cloudflare то
/threads/468566/
Сканирование портов
Определение служб на портах, их версий, ОС
Определение движка, версия, поиск и выявление публичных уязвимостей.
Исследование видимого контента
- Определение форм пользовательского ввода
- Определение форм загрузки файлов
- Выявление дочерних ресурсов(в одной подсети, но иная тематика, домен и тд.)
- Выявление "видимых" файлов, директорий, поддоменов
- Определяем к каким файлам обращается текущий скрипт при загрузке
- Анализ ссылок на сторонние ресурсы
Поиск скрытого контента
- Сканирование поддоменов, скрытых директорий, файлов. /threads/470561/
- Поиск backup
- Поиск файлов .ext .sw .sql .txt etc
- Определение ip поддоменов и дочерних ресурсов
- админки пма
Анализ кодов отличных от 200 (404 и др, вывод об отсутствии файла - одинаковый или отличный и тд)
Наличие/отсутствие заголовков безопасности
Наличие/отсутствие капчи
Составление карты подсети + карта веб ресурса
Создание тестового аккаунта и исследование ресурса
Определение парольной политики. + наличие автозаполнения, сохранения пароля
Определение привязки аккаунта.(многофакторная аутентификация - тел, почта и тд)
Анализ идентификации учетной записи, восстановления учетной записи.
Проверка флага Httponly
Проверка полномочий и прав доступа.
Анализ доступности информации исходя из прав доступа или его отсутствия.
Исследования сессии (время жизни, сессионный токены, признаки, попытки одновременной работы и т.д.)
Ну и всё же попытка найти исходники в открытом доступе, пусть даже и старые - это как минимум поможет сформировать приблизительно карту ресурса.
Ну как-то так)