Methodik für Web-Schwachstellen

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Bei jedem Web-Pentest gibt es mehrere versteckte und offensichtliche Stellen, die angreifbar sein könnten. Dieser Beitrag dient als Checkliste, um sicherzustellen, dass Sie an allen möglichen Stellen nach Schwachstellen gesucht haben.

Proxies

Tip

Heutzutage nutzen Webanwendungen in der Regel eine Art von Zwischen-Proxies, die (ab)genutzt werden können, um Schwachstellen auszunutzen. Diese Schwachstellen benötigen einen verwundbaren Proxy, aber in der Regel ist zusätzlich eine Schwachstelle im Backend nötig.

• Abusing hop-by-hop headers
• Cache Poisoning/Cache Deception
• HTTP Connection Contamination
• HTTP Connection Request Smuggling
• HTTP Request Smuggling
• HTTP Response Smuggling / Desync
• H2C Smuggling
• Server Side Inclusion/Edge Side Inclusion
• Uncovering Cloudflare
• XSLT Server Side Injection
• Proxy / WAF Protections Bypass

Benutzereingaben

Tip

Die meisten Webanwendungen erlauben Benutzern, Daten einzugeben, die später verarbeitet werden. Je nach Struktur der erwarteten Daten können einige Schwachstellen zutreffen oder nicht.

Reflektierte Werte

Wenn die eingegebenen Daten irgendwie in der Antwort reflektiert werden, könnte die Seite gegenüber mehreren Problemen verwundbar sein.

• Client Side Path Traversal
• Client Side Template Injection
• Command Injection
• CRLF
• Dangling Markup
• File Inclusion/Path Traversal
• Open Redirect
• Prototype Pollution to XSS
• Server Side Inclusion/Edge Side Inclusion
• Server Side Request Forgery
• Server Side Template Injection
• Reverse Tab Nabbing
• XSLT Server Side Injection
• XSS
• XSSI
• XS-Search

Einige der genannten Schwachstellen benötigen spezielle Bedingungen, andere erfordern nur, dass der Inhalt reflektiert wird. Sie finden einige interessante Polygloths, um die Schwachstellen schnell zu testen unter:

Reflecting Techniques - PoCs and Polygloths CheatSheet

Suchfunktionen

Wenn die Funktionalität verwendet werden kann, um im Backend nach Daten zu suchen, kann sie möglicherweise (ab)genutzt werden, um beliebige Daten zu suchen.

• File Inclusion/Path Traversal
• NoSQL Injection
• LDAP Injection
• ReDoS
• SQL Injection
• ORM Injection
• RSQL Injection
• XPATH Injection

Forms, WebSockets and PostMsgs

Wenn ein WebSocket eine Nachricht sendet oder ein Formular es Benutzern erlaubt, Aktionen auszuführen, können Schwachstellen auftreten.

• Cross Site Request Forgery
• Cross-site WebSocket hijacking (CSWSH)
• Phone Number Injections
• PostMessage Vulnerabilities

HTTP Headers

Abhängig von den HTTP-Headern, die der Webserver liefert, können einige Schwachstellen vorhanden sein.

• Clickjacking
• Iframe Traps / Click Isolation
• Content Security Policy bypass
• Cookies Hacking
• CORS - Misconfigurations & Bypass

Umgehungen

Es gibt mehrere spezifische Funktionalitäten, bei denen einige Workarounds nützlich sein können, um Schutzmechanismen zu umgehen.

• 2FA/OTP Bypass
• Bypass Payment Process
• Captcha Bypass
• Account Takeover Playbooks
• Login Bypass
• Race Condition
• Rate Limit Bypass
• Reset Forgotten Password Bypass
• Registration Vulnerabilities

Strukturierte Objekte / Spezifische Funktionalitäten

Einige Funktionalitäten erfordern, dass die Daten in einem sehr spezifischen Format vorliegen (z. B. ein serialisiertes Objekt oder XML). Daher ist es leichter zu erkennen, ob die Anwendung verwundbar ist, da sie diese Art von Daten verarbeiten muss.
Einige spezifische Funktionalitäten können ebenfalls verwundbar sein, wenn ein bestimmtes Format der Eingabe verwendet wird (z. B. Email Header Injections).

• Deserialization
• Email Header Injection
• JWT Vulnerabilities
• JSON / XML / YAML Hacking
• XML External Entity
• GraphQL Attacks
• gRPC-Web Attacks
• SOAP/JAX-WS ThreadLocal Auth Bypass

Dateien

Funktionalitäten, die das Hochladen von Dateien erlauben, können gegenüber mehreren Problemen verwundbar sein.
Funktionalitäten, die Dateien erzeugen und Benutzereingaben einbeziehen, können unerwarteten Code ausführen.
Benutzer, die von anderen hochgeladene oder automatisch erzeugte Dateien öffnen, die Benutzereingaben enthalten, können kompromittiert werden.

• File Upload
• Formula Injection
• PDF Injection
• Server Side XSS

Externe Identitätsverwaltung

• OAUTH to Account takeover
• SAML Attacks

Andere hilfreiche Schwachstellen

Diese Schwachstellen können helfen, andere Schwachstellen auszunutzen.

• Domain/Subdomain takeover
• IDOR
• Mass Assignment (CWE-915)
• Parameter Pollution
• Unicode Normalization vulnerability

Webserver & Middleware

Fehlkonfigurationen im Edge-Stack öffnen oft wirkungsvollere Bugs in der Anwendungsschicht.

• Apache
• Nginx
• IIS
• Tomcat
• Spring Actuators
• PUT Method / WebDAV
• Special HTTP Headers
• WSGI Deployment
• Werkzeug Debug Exposure

Anwendungs-Frameworks & Stacks

Framework-spezifische Primitiven offenbaren häufig Gadgets, gefährliche Defaults oder framework-eigene Endpoints.

• Django
• Flask
• NodeJS / Express
• Angular
• Vue / Nuxt
• Next.js
• Laravel
• Symfony

CMS, SaaS & Managed Platforms

Produkte mit großer Angriffsoberfläche enthalten oft bekannte Exploits, schwache Plugins oder privilegierte Admin-Endpunkte.

• WordPress
• Joomla
• Drupal
• Moodle
• Prestashop
• Atlassian Jira
• Grafana
• Rocket.Chat
• Zabbix
• Microsoft SharePoint
• Sitecore

APIs, Buckets & Integrationen

Serverseitige Helfer und Drittanbieter-Integrationen können Probleme bei der Dateiparser- oder Storage-Schicht offenlegen.

• Web API Pentesting
• Storage Buckets & Firebase
• Imagemagick Security
• Artifactory & Package Registries
• Code Review Tooling

Supply Chain & Identifier Abuse

Attacken, die Build-Pipelines oder vorhersehbare Identifier ins Visier nehmen, können der initiale Einstiegspunkt sein, bevor traditionelle Bugs ausgenutzt werden.

• Dependency Confusion
• Timing Attacks
• UUID Insecurities

Web3, Extensions & Tooling

Moderne Anwendungen erweitern sich in Browser, Wallets und Automatisierungs-Pipelines — halten Sie diese Vektoren im Scope.

• dApps / Decentralized Applications
• Browser Extension Pentesting
• wfuzz Web Fuzzing

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.