Web Vulnerabilities Methodology
Previous50030,50060,50070,50075,50090 - Pentesting HadoopNextReflecting Techniques - PoCs and Polygloths CheatSheet
Last updated
Last updated
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Pata mtazamo wa hacker kuhusu programu zako za wavuti, mtandao, na wingu
Pata na ripoti za udhaifu muhimu, zinazoweza kutumika zikiwa na athari halisi za kibiashara. Tumia zana zetu zaidi ya 20 za kawaida kupanga uso wa shambulio, pata masuala ya usalama yanayokuruhusu kupandisha mamlaka, na tumia matumizi ya kiotomatiki kukusanya ushahidi muhimu, ukigeuza kazi yako ngumu kuwa ripoti za kushawishi.
Katika kila Web Pentest, kuna sehemu kadhaa zilizofichwa na wazi ambazo zinaweza kuwa na udhaifu. Chapisho hili linakusudia kuwa orodha ya kuangalia ili kuthibitisha kwamba umepitia udhaifu katika maeneo yote yanayowezekana.
Siku hizi maombi ya wavuti kawaida yanatumia aina fulani ya proxies za kati, ambazo zinaweza (kutumika vibaya) kutumiwa kutekeleza udhaifu. Udhaifu huu unahitaji proxy yenye udhaifu kuwepo, lakini kawaida pia unahitaji udhaifu wa ziada katika backend.
Maombi mengi ya wavuti yatakubali watumiaji kuingiza data ambayo itashughulikiwa baadaye. Kulingana na muundo wa data ambayo seva inatarajia, udhaifu fulani unaweza kutumika au hauwezi kutumika.
Ikiwa data iliyowekwa inaweza kwa namna fulani kurejeshwa katika jibu, ukurasa unaweza kuwa na udhaifu wa masuala kadhaa.
Baadhi ya udhaifu uliotajwa unahitaji hali maalum, wengine wanahitaji tu yaliyomo kurejeshwa. Unaweza kupata polygloths za kuvutia ili kujaribu haraka udhaifu katika:
Reflecting Techniques - PoCs and Polygloths CheatSheetIkiwa kazi inaweza kutumika kutafuta aina fulani ya data ndani ya backend, labda unaweza (kutumika vibaya) kutafuta data isiyo ya kawaida.
Wakati websocket inachapisha ujumbe au fomu inayowaruhusu watumiaji kufanya vitendo, udhaifu unaweza kutokea.
Kulingana na vichwa vya HTTP vilivyotolewa na seva ya wavuti, udhaifu fulani unaweza kuwepo.
Kuna kazi kadhaa maalum ambapo njia mbadala zinaweza kuwa na manufaa kupita.
Baadhi ya kazi zitahitaji data kuandikwa katika muundo maalum sana (kama vile kitu kilichosajiliwa kwa lugha au XML). Kwa hivyo, ni rahisi kubaini ikiwa programu inaweza kuwa na udhaifu kwani inahitaji kushughulikia aina hiyo ya data. Baadhi ya kazi maalum pia zinaweza kuwa na udhaifu ikiwa muundo maalum wa kuingiza unatumika (kama vile Kuingiza Vichwa vya Barua pepe).
Kazi zinazoruhusu kupakia faili zinaweza kuwa na udhaifu wa masuala kadhaa. Kazi zinazozalisha faili zinazojumuisha kuingiza kwa mtumiaji zinaweza kutekeleza msimbo usiotarajiwa. Watumiaji wanaofungua faili zilizopakiwa na watumiaji au zilizozalishwa kiotomatiki zinazojumuisha kuingiza kwa mtumiaji wanaweza kuathirika.
Udhaifu huu unaweza kusaidia kutekeleza udhaifu mwingine.
Pata mtazamo wa hacker kuhusu programu zako za wavuti, mtandao, na wingu
Pata na ripoti za udhaifu muhimu, zinazoweza kutumika zikiwa na athari halisi za kibiashara. Tumia zana zetu zaidi ya 20 za kawaida kupanga uso wa shambulio, pata masuala ya usalama yanayokuruhusu kupandisha mamlaka, na tumia matumizi ya kiotomatiki kukusanya ushahidi muhimu, ukigeuza kazi yako ngumu kuwa ripoti za kushawishi.
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
