Web Vulnerabilities Methodology

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

U svakom Web Pentest-u postoje nekoliko skrivenih i očiglednih mesta koja mogu biti ranjiva. Ovaj post je zamišljen kao kontrolna lista da potvrdite da ste pretražili ranjivosti u svim mogućim mestima.

Proxies

Tip

Danas web applications obično koriste neku vrstu posredničkih proxies, koji se mogu (ab)usirati za iskorišćavanje ranjivosti. Ove ranjivosti zahtevaju da ranjiv proxy bude prisutan, ali obično takođe zavise od dodatne ranjivosti na backendu.

• Abusing hop-by-hop headers
• Cache Poisoning/Cache Deception
• HTTP Connection Contamination
• HTTP Connection Request Smuggling
• HTTP Request Smuggling
• HTTP Response Smuggling / Desync
• H2C Smuggling
• Server Side Inclusion/Edge Side Inclusion
• Uncovering Cloudflare
• XSLT Server Side Injection
• Proxy / WAF Protections Bypass

User input

Tip

Većina aplikacija će dozvoliti korisnicima da unesu podatke koji će biti obrađeni kasnije.
U zavisnosti od strukture podataka koju server očekuje, neke ranjivosti mogu ili ne moraju biti primenljive.

Reflected Values

Ako se uneti podaci na neki način reflektuju u odgovoru, stranica može biti ranjiva na više problema.

• Client Side Path Traversal
• Client Side Template Injection
• Command Injection
• CRLF
• Dangling Markup
• File Inclusion/Path Traversal
• Open Redirect
• Prototype Pollution to XSS
• Server Side Inclusion/Edge Side Inclusion
• Server Side Request Forgery
• Server Side Template Injection
• Reverse Tab Nabbing
• XSLT Server Side Injection
• XSS
• XSSI
• XS-Search

Neke od pomenutih ranjivosti zahtevaju posebne uslove, druge samo zahtevaju da se sadržaj reflektuje. Možete pronaći neke interesantne polygloths za brzo testiranje ranjivosti u:

Reflecting Techniques - PoCs and Polygloths CheatSheet

Search functionalities

Ako funkcionalnost služi za pretragu podataka unutar backenda, moguće je da je možete (ab)usirati da pretražuje arbitrarne podatke.

• File Inclusion/Path Traversal
• NoSQL Injection
• LDAP Injection
• ReDoS
• SQL Injection
• ORM Injection
• RSQL Injection
• XPATH Injection

Forms, WebSockets and PostMsgs

Kada websocket šalje poruku ili forma dozvoljava korisnicima da izvrše akcije, mogu se pojaviti ranjivosti.

• Cross Site Request Forgery
• Cross-site WebSocket hijacking (CSWSH)
• Phone Number Injections
• PostMessage Vulnerabilities

Cross-site WebSocket hijacking & localhost abuse

WebSocket upgrade-ovi automatski prosleđuju cookies i ne blokiraju ws://127.0.0.1, tako da bilo koji web origin može upravljati desktop IPC endpoint-ima koji preskaču Origin validaciju. Kada uočite launcher koji izlaže JSON-RPC-like API preko lokalnog agenta:

• Posmatrajte emitovane frame-ove da biste klonirali type/name/args tuple potrebne za svaku metodu.
• Bruteforce-ujte port direktno iz browser-a (Chromium će podneti ~16k neuspešnih upgrade-a) dok loopback socket ne odgovori sa protocol banner-om — Firefox ima tendenciju da se brzo sruši pod istim opterećenjem.
• Povežite par create → privileged action: npr. pozovite create* metodu koja vraća GUID i odmah pozovite odgovarajući *Launch* metod sa payload-om pod kontrolom napadača.

Ako možete proslediti arbitrarne JVM flags (npr. AdditionalJavaArguments), izazovite grešku sa -XX:MaxMetaspaceSize=<tiny> i zakačite -XX:OnOutOfMemoryError="<cmd>" da biste pokrenuli OS komande bez dodirivanja logike aplikacije. Pogledajte WebSocket attacks za detaljan prikaz.

HTTP Headers

U zavisnosti od HTTP zaglavlja koje vraća web server, neke ranjivosti mogu biti prisutne.

• Clickjacking
• Iframe Traps / Click Isolation
• Content Security Policy bypass
• Cookies Hacking
• CORS - Misconfigurations & Bypass

Bypasses

Postoji nekoliko specifičnih funkcionalnosti gde neki workaround-i mogu biti korisni za zaobilaženje zaštita

• 2FA/OTP Bypass
• Bypass Payment Process
• Captcha Bypass
• Account Takeover Playbooks
• Login Bypass
• Race Condition
• Rate Limit Bypass
• Reset Forgotten Password Bypass
• Registration Vulnerabilities

Structured objects / Specific functionalities

Neke funkcionalnosti zahtevaju da podaci budu strukturisani u vrlo specifičnom formatu (kao što je serializovani objekat jezika ili XML). Stoga je lakše identifikovati da li je aplikacija ranjiva jer mora da procesuira takav tip podataka.
Neke specifične funkcionalnosti takođe mogu biti ranjive ako se koristi specifičan format input-a (npr. Email Header Injections).

• Deserialization
• Email Header Injection
• JWT Vulnerabilities
• JSON / XML / YAML Hacking
• XML External Entity
• GraphQL Attacks
• gRPC-Web Attacks
• SOAP/JAX-WS ThreadLocal Auth Bypass

Files

Funkcionalnosti koje dozvoljavaju upload fajlova mogu biti ranjive na više problema.
Funkcionalnosti koje generišu fajlove uključujući korisnički input mogu izvršiti neočekivani kod.
Korisnici koji otvaraju fajlove koje su učitali drugi korisnici ili koji su automatski generisani sa korisničkim input-om mogu biti kompromitovani.

• File Upload
• Formula Injection
• PDF Injection
• Server Side XSS

External Identity Management

• OAUTH to Account takeover
• SAML Attacks

Other Helpful Vulnerabilities

Ove ranjivosti mogu pomoći pri eksploataciji drugih ranjivosti.

• Domain/Subdomain takeover
• IDOR
• Mass Assignment (CWE-915)
• Parameter Pollution
• Unicode Normalization vulnerability

Web Servers & Middleware

Pogrešna podešavanja u edge stack-u često otključavaju značajnije bagove u aplikacionom sloju.

• Apache
• Nginx
• IIS
• Tomcat
• Spring Actuators
• PUT Method / WebDAV
• Special HTTP Headers
• WSGI Deployment
• Werkzeug Debug Exposure

Application Frameworks & Stacks

Specifični framework-ovi često izlažu gadget-e, opasne podrazumevane postavke ili endpoint-e koje poseduje framework.

• Django
• Flask
• NodeJS / Express
• Angular
• Vue / Nuxt
• Next.js
• Laravel
• Symfony

CMS, SaaS & Managed Platforms

Proizvodi sa velikom površinom često dolaze sa poznatim exploit-ima, slabim plugin-ovima ili privilegovanim admin endpoint-ima.

• WordPress
• Joomla
• Drupal
• Moodle
• Prestashop
• Atlassian Jira
• Grafana
• Rocket.Chat
• Zabbix
• Microsoft SharePoint
• Sitecore

APIs, Buckets & Integrations

Server-side helper-i i third-party integracije mogu otkriti slabosti u parsiranju fajlova ili na nivou skladišta.

• Web API Pentesting
• Storage Buckets & Firebase
• Imagemagick Security
• Artifactory & Package Registries
• Code Review Tooling

Supply Chain & Identifier Abuse

Napadi koji ciljaju build pipeline-e ili predvidljive identifikatore mogu postati početna tačka pre iskorišćavanja tradicionalnih bagova.

• Dependency Confusion
• Timing Attacks
• UUID Insecurities

Web3, Extensions & Tooling

Moderne aplikacije se šire u browsere, wallet-e i automation pipeline-e — držite ove vektore u opsegu.

• dApps / Decentralized Applications
• Browser Extension Pentesting
• wfuzz Web Fuzzing

References

• When WebSockets Lead to RCE in CurseForge

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.