Kliëntkant Pad Traversering
Reading time: 2 minutes
tip
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Basiese Inligting
'n Kliëntkant pad traversering vind plaas wanneer jy die pad van 'n URL kan manipuleer wat gestuur gaan word na 'n gebruiker om op 'n wettige manier te besoek of wat 'n gebruiker op een of ander manier gedwonge gaan word om te besoek, byvoorbeeld via JS of CSS.
- In hierdie skrywe, was dit moontlik om die uitnodigings-URL te verander sodat dit sou eindig met die kansellasie van 'n kaart.
- In hierdie skrywe, was dit moontlik om 'n kliëntkant pad traversering via CSS te kombineer (dit was moontlik om die pad waar 'n CSS hulpbron gelaai is te verander) met 'n oop omleiding om die CSS hulpbron van 'n aanvaller beheerde domein te laai.
- In hierdie skrywe, is dit moontlik om 'n tegniek te sien oor hoe om CSPT te misbruik om 'n CSRF-aanval uit te voer. Dit word gedoen deur alle data wat 'n aanvaller kan beheer (URL pad, parameters, fragment, data ingespuit in die DB...) en die sinke waarheen hierdie data eindig (versoeke wat uitgevoer word) te moniteer.
- Kyk na hierdie blaaiers uitbreiding om dit te monitor.
- Kyk na hierdie CSPT speelgrond om die tegniek te probeer.
- Kyk na hierdie tutoriaal oor hoe om die blaaiers uitbreiding in die speelgrond te gebruik.
tip
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.