Klient Side Path Traversal

Reading time: 2 minutes

tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

Podstawowe informacje

Klient side path traversal występuje, gdy możesz manipulować ścieżką URL, która ma być wysłana do użytkownika w sposób legalny lub którą użytkownik w jakiś sposób będzie zmuszony odwiedzić, na przykład za pomocą JS lub CSS.

  • W tym artykule możliwe było zmienienie URL zaproszenia, aby ostatecznie anulować kartę.
  • W tym artykule możliwe było połączenie klient side path traversal za pomocą CSS (można było zmienić ścieżkę, z której ładowano zasób CSS) z otwartym przekierowaniem, aby załadować zasób CSS z domeny kontrolowanej przez atakującego.
  • W tym artykule można zobaczyć technikę, jak wykorzystać CSPT do przeprowadzenia ataku CSRF. Robi się to poprzez monitorowanie wszystkich danych, które atakujący może kontrolować (ścieżka URL, parametry, fragment, dane wstrzyknięte do bazy danych...) i miejsc, do których te dane trafiają (wykonywane żądania).
  • Sprawdź ten dodatek do przeglądarki, aby to monitorować.
  • Sprawdź ten plac zabaw CSPT, aby wypróbować tę technikę.
  • Sprawdź ten samouczek na temat korzystania z dodatku do przeglądarki w placu zabaw.

tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks