Client Side Path Traversal
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Path traversal ya upande wa mteja inatokea wakati unaweza kubadilisha njia ya URL ambayo itatumwa kwa mtumiaji kutembelea kwa njia halali au kwamba mtumiaji kwa namna fulani atakuwa lazimishwa kutembelea kwa mfano kupitia JS au CSS.
Katika hii andiko, ilikuwa inawezekana kubadilisha URL ya mwaliko ili ikamilishe kuondoa kadi.
Katika hii andiko, ilikuwa inawezekana kuunganisha path traversal ya upande wa mteja kupitia CSS (ilikuwa inawezekana kubadilisha njia ambapo rasilimali ya CSS ilipakuliwa) na redirect wazi ili kupakua rasilimali ya CSS kutoka domeni inayodhibitiwa na mshambuliaji.
Katika hii andiko, inawezekana kuona mbinu juu ya jinsi ya kutumia CSPT kutekeleza shambulio la CSRF. Hii inafanywa kwa kufuatilia data zote ambazo mshambuliaji anaweza kudhibiti (njia ya URL, vigezo, kipande, data iliyowekwa kwenye DB...) na mahali data hii inapoishia (maombi yanayofanywa).
Angalia hii nyongeza ya kivinjari kufuatilia hilo.
Angalia hii CSPT playground kujaribu mbinu hiyo.
Angalia hii tutorial juu ya jinsi ya kutumia nyongeza ya kivinjari katika playground.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
