HackTricksKlient Side Path Traversal
Reading time: 2 minutes
tip
Ucz się i ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.
Podstawowe informacje
Klient side path traversal występuje, gdy możesz manipulować ścieżką URL, która ma być wysłana do użytkownika w sposób legalny lub którą użytkownik w jakiś sposób będzie zmuszony odwiedzić, na przykład za pomocą JS lub CSS.
- W tym artykule możliwe było zmienienie URL zaproszenia, aby ostatecznie anulować kartę.
- W tym artykule możliwe było połączenie klient side path traversal za pomocą CSS (można było zmienić ścieżkę, z której ładowano zasób CSS) z otwartym przekierowaniem, aby załadować zasób CSS z domeny kontrolowanej przez atakującego.
- W tym artykule można zobaczyć technikę, jak wykorzystać CSPT do przeprowadzenia ataku CSRF. Robi się to poprzez monitorowanie wszystkich danych, które atakujący może kontrolować (ścieżka URL, parametry, fragment, dane wstrzyknięte do bazy danych...) i miejsc, do których te dane trafiają (wykonywane żądania).
- Sprawdź ten dodatek do przeglądarki, aby to monitorować.
- Sprawdź ten plac zabaw CSPT, aby wypróbować tę technikę.
- Sprawdź ten samouczek na temat korzystania z dodatku do przeglądarki w placu zabaw.
tip
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.