Client Side Path Traversal
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Klijent strana path traversal se dešava kada možete manipulisati putanjom URL-a koji će biti poslat korisniku da ga poseti na legitiman način ili da će korisnik nekako biti prinudjen da ga poseti, na primer, putem JS ili CSS.
U ovoj analizi, bilo je moguće promeniti URL za pozivnicu tako da bi na kraju otkazao karticu.
U ovoj analizi, bilo je moguće kombinovati klijent stranu path traversal putem CSS-a (bilo je moguće promeniti putanju sa koje je CSS resurs učitan) sa otvorenim preusmeravanjem da se učita CSS resurs sa domena pod kontrolom napadača.
U ovoj analizi, moguće je videti tehniku kako iskoristiti CSPT za izvođenje CSRF napada. To se radi praćenjem svih podataka koje napadač može kontrolisati (putanja URL-a, parametri, fragment, podaci ubačeni u DB...) i odredišta na koja ti podaci idu (izvršene zahteve).
Proverite ovu ekstenziju za pretraživač da biste to pratili.
Proverite ovaj CSPT igralište da biste isprobali tehniku.
Proverite ovaj tutorijal o tome kako koristiti ekstenziju za pretraživač u igralištu.
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
