Methodik für Web-Schwachstellen

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

In every Web Pentest, gibt es mehrere versteckte und offensichtliche Stellen, die möglicherweise verwundbar sind. Dieser Beitrag ist als Checkliste gedacht, um sicherzustellen, dass Sie an allen möglichen Stellen nach Schwachstellen gesucht haben.

Proxies

Tip

Heutzutage verwenden web applications normalerweise irgendeine Art von intermediary proxies; diese können (ab)genutzt werden, um Schwachstellen auszunutzen. Diese Schwachstellen setzen einen verwundbaren Proxy voraus, benötigen aber in der Regel auch eine zusätzliche Schwachstelle im Backend.

• Abusing hop-by-hop headers
• Cache Poisoning/Cache Deception
• HTTP Connection Contamination
• HTTP Connection Request Smuggling
• HTTP Request Smuggling
• HTTP Response Smuggling / Desync
• H2C Smuggling
• Server Side Inclusion/Edge Side Inclusion
• Uncovering Cloudflare
• XSLT Server Side Injection
• Proxy / WAF Protections Bypass

Benutzereingaben

Tip

Die meisten web applications erlauben es Benutzern, Daten einzugeben, die später verarbeitet werden.
Je nach Struktur der Daten, die der Server erwartet, können bestimmte Schwachstellen zutreffen oder nicht.

Reflektierte Werte

Wenn die eingegebenen Daten irgendwie in der Antwort reflektiert werden, könnte die Seite für mehrere Probleme anfällig sein.

• Client Side Path Traversal
• Client Side Template Injection
• Command Injection
• CRLF
• Dangling Markup
• File Inclusion/Path Traversal
• Open Redirect
• Prototype Pollution to XSS
• Server Side Inclusion/Edge Side Inclusion
• Server Side Request Forgery
• Server Side Template Injection
• Reverse Tab Nabbing
• XSLT Server Side Injection
• XSS
• XSSI
• XS-Search

Einige der genannten Schwachstellen erfordern spezielle Bedingungen, andere verlangen nur, dass der Inhalt reflektiert wird. Einige interessante polygloths zum schnellen Testen der Schwachstellen finden Sie in:

Reflecting Techniques - PoCs and Polygloths CheatSheet

Suchfunktionen

Wenn die Funktionalität dazu verwendet werden kann, im Backend nach bestimmten Daten zu suchen, können Sie sie möglicherweise (ab)nutzen, um beliebige Daten zu finden.

• File Inclusion/Path Traversal
• NoSQL Injection
• LDAP Injection
• ReDoS
• SQL Injection
• ORM Injection
• RSQL Injection
• XPATH Injection

Formulare, WebSockets und PostMsgs

Wenn ein websocket eine Nachricht sendet oder ein Formular es Benutzern erlaubt, Aktionen auszuführen, können Schwachstellen auftreten.

• Cross Site Request Forgery
• Cross-site WebSocket hijacking (CSWSH)
• Phone Number Injections
• PostMessage Vulnerabilities

HTTP-Header

Je nach den vom Webserver gesetzten HTTP-Headern können einige Schwachstellen vorhanden sein.

• Clickjacking
• Iframe Traps / Click Isolation
• Content Security Policy bypass
• Cookies Hacking
• CORS - Misconfigurations & Bypass

Umgehungen

Es gibt mehrere spezifische Funktionen, bei denen Workarounds nützlich sein können, um sie zu umgehen

• 2FA/OTP Bypass
• Bypass Payment Process
• Captcha Bypass
• Account Takeover Playbooks
• Login Bypass
• Race Condition
• Rate Limit Bypass
• Reset Forgotten Password Bypass
• Registration Vulnerabilities

Strukturierte Objekte / Spezifische Funktionalitäten

Einige Funktionalitäten erfordern, dass die Daten in einem sehr spezifischen Format strukturiert sind (z. B. ein serialisiertes Objekt einer Sprache oder XML). Daher ist es einfacher zu erkennen, ob die Anwendung verwundbar sein könnte, da sie diese Art von Daten verarbeiten muss.
Manche spezifischen Funktionalitäten können auch verwundbar sein, wenn ein spezifisches Eingabeformat verwendet wird (z. B. Email Header Injections).

• Deserialization
• Email Header Injection
• JWT Vulnerabilities
• JSON / XML / YAML Hacking
• XML External Entity
• GraphQL Attacks
• gRPC-Web Attacks

Dateien

Funktionen, die das Hochladen von Dateien erlauben, können für verschiedene Probleme anfällig sein.
Funktionen, die Dateien erzeugen, die Benutzereingaben enthalten, könnten unerwarteten Code ausführen.
Benutzer, die von anderen Benutzern hochgeladene oder automatisch generierte Dateien öffnen, die Benutzereingaben enthalten, könnten kompromittiert werden.

• File Upload
• Formula Injection
• PDF Injection
• Server Side XSS

Externe Identitätsverwaltung

• OAUTH to Account takeover
• SAML Attacks

Andere hilfreiche Schwachstellen

Diese Schwachstellen können helfen, andere Schwachstellen auszunutzen.

• Domain/Subdomain takeover
• IDOR
• Mass Assignment (CWE-915)
• Parameter Pollution
• Unicode Normalization vulnerability

Webserver & Middleware

Fehlkonfigurationen im Edge-Stack öffnen häufig wirkungsvollere Fehler in der Anwendungsschicht.

• Apache
• Nginx
• IIS
• Tomcat
• Spring Actuators
• PUT Method / WebDAV
• Special HTTP Headers
• WSGI Deployment
• Werkzeug Debug Exposure

Application Frameworks & Stacks

Framework-spezifische Primitive offenbaren häufig Gadgets, gefährliche Standardeinstellungen oder vom Framework verwaltete Endpunkte.

• Django
• Flask
• NodeJS / Express
• Angular
• Vue / Nuxt
• Next.js
• Laravel
• Symfony

CMS, SaaS & Managed Platforms

Produkte mit großer Angriffsfläche enthalten häufig bekannte Exploits, schwache Plugins oder privilegierte Admin-Endpunkte.

• WordPress
• Joomla
• Drupal
• Moodle
• Prestashop
• Atlassian Jira
• Grafana
• Rocket.Chat
• Zabbix
• Microsoft SharePoint
• Sitecore

APIs, Buckets & Integrations

Serverseitige Hilfsfunktionen und Drittanbieter-Integrationen können Schwächen in der Datei-Parsing- oder Storage-Schicht offenlegen.

• Web API Pentesting
• Storage Buckets & Firebase
• Imagemagick Security
• Artifactory & Package Registries
• Code Review Tooling

Supply Chain & Identifier Abuse

Angriffe, die Build-Pipelines oder vorhersehbare Identifikatoren anvisieren, können der anfängliche Einstiegspunkt sein, bevor traditionelle Fehler ausgenutzt werden.

• Dependency Confusion
• Timing Attacks
• UUID Insecurities

Web3, Extensions & Tooling

Moderne Anwendungen reichen in Browser, Wallets und Automatisierungs-Pipelines hinein — behalten Sie diese Vektoren im Blick.

• dApps / Decentralized Applications
• Browser Extension Pentesting
• wfuzz Web Fuzzing

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.