Client Side Path Traversal
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Klient side path traversal występuje, gdy możesz manipulować ścieżką URL, która ma być wysłana do użytkownika w sposób legalny lub że użytkownik w jakiś sposób będzie zmuszony do odwiedzenia, na przykład za pomocą JS lub CSS.
W tym artykule możliwe było zmienienie URL zaproszenia, aby ostatecznie anulować kartę.
W tym artykule możliwe było połączenie klient side path traversal za pomocą CSS (można było zmienić ścieżkę, z której ładowano zasób CSS) z otwartym przekierowaniem, aby załadować zasób CSS z domeny kontrolowanej przez atakującego.
W tym artykule można zobaczyć technikę, jak wykorzystać CSPT do przeprowadzenia ataku CSRF. Robi się to poprzez monitorowanie wszystkich danych, które atakujący może kontrolować (ścieżka URL, parametry, fragment, dane wstrzyknięte do DB...) i miejsc, do których te dane trafiają (wykonywane żądania).
Sprawdź ten dodatek do przeglądarki, aby to monitorować.
Sprawdź ten plac zabaw CSPT, aby wypróbować tę technikę.
Sprawdź ten samouczek na temat korzystania z dodatku do przeglądarki w placu zabaw.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
