Mbinu za Udhaifu za Wavuti

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

• Angalia mpango wa usajili!
• Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
• Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Kila Web Pentest, kuna maeneo kadhaa yaliyofichwa na yaliyo wazi ambayo yanaweza kuwa hatarini. Chapisho hili limetengenezwa kama orodha ya ukaguzi ili kuthibitisha umevitafuta udhaifu katika maeneo yote yanayowezekana.

Mawakala (Proxies)

Tip

Sasa hivi maombi ya wavuti kwa kawaida hutumia aina fulani ya mawakala wa kati (proxies), ambayo yanaweza kutumika (au kutumiwa vibaya) ili kuchochea udhaifu. Udhaifu huu unahitaji proxy iliyo dhaifu kuwepo, lakini kawaida pia unahitaji udhaifu mwingine upande wa backend.

• Abusing hop-by-hop headers
• Cache Poisoning/Cache Deception
• HTTP Connection Contamination
• HTTP Connection Request Smuggling
• HTTP Request Smuggling
• HTTP Response Smuggling / Desync
• H2C Smuggling
• Server Side Inclusion/Edge Side Inclusion
• Uncovering Cloudflare
• XSLT Server Side Injection
• Proxy / WAF Protections Bypass

Ingizo la mtumiaji

Tip

Mawasilisho mengi ya wavuti yatawaruhusu watumiaji kuingiza data ambayo itashughulikiwa baadaye.
Kulingana na muundo wa data zinazotarajiwa na server, baadhi ya udhaifu huenda uhusike au usihusike.

Thamani Zinazorudishwa

Ikiwa data iliyowasilishwa itarudishwa kwa namna yoyote kwenye jibu, ukurasa unaweza kuwa dhaifu kwa masuala kadhaa.

• Client Side Path Traversal
• Client Side Template Injection
• Command Injection
• CRLF
• Dangling Markup
• File Inclusion/Path Traversal
• Open Redirect
• Prototype Pollution to XSS
• Server Side Inclusion/Edge Side Inclusion
• Server Side Request Forgery
• Server Side Template Injection
• Reverse Tab Nabbing
• XSLT Server Side Injection
• XSS
• XSSI
• XS-Search

Baadhi ya udhaifu ulioorodheshwa unahitaji masharti maalum, mengine yanahitaji tu kwamba maudhui yarudishwe. Unaweza kupata polygloths za kuvutia za kupima kwa haraka udhaifu kwenye:

Reflecting Techniques - PoCs and Polygloths CheatSheet

Kazi za utafutaji

Ikiwa mfumo unaweza kutumika kutafuta aina fulani ya data ndani ya backend, labda unaweza (ku)itumia kuleta matokeo ya utafutaji ya data yoyote.

• File Inclusion/Path Traversal
• NoSQL Injection
• LDAP Injection
• ReDoS
• SQL Injection
• ORM Injection
• RSQL Injection
• XPATH Injection

Fomu, WebSockets and PostMsgs

Wakati websocket inapotuma ujumbe au fomu inayomruhusu mtumiaji kufanya vitendo, udhaifu unaweza kutokea.

• Cross Site Request Forgery
• Cross-site WebSocket hijacking (CSWSH)
• Phone Number Injections
• PostMessage Vulnerabilities

Cross-site WebSocket hijacking & localhost abuse

Upgrades za WebSocket zinapitisha cookies moja kwa moja na hazizuii ws://127.0.0.1, hivyo mwenye asili yoyote ya wavuti anaweza kuendesha endpoints za IPC za desktop ambazo zinaruka uthibitisho wa Origin. Unapoona launcher inayoonyesha API kama JSON-RPC kupitia wakala wa ndani:

• Angalia fremu zinazotolewa ili kuiga tuples za type/name/args zinazohitajika na kila method.
• Fanya bruteforce kwa port inayosikiliza moja kwa moja kutoka kwa browser (Chromium itashughulikia ~16k ya failed upgrades) hadi socket ya loopback itakujibu na bango la protocol—Firefox mara nyingi inajitupa kwa urahisi chini ya mzigo huo ule.
• Unganisha jozi ya create → privileged action: kwa mfano, itisha create* method inayorudisha GUID na mara moja piga wito kwa method inayofanana ya *Launch* ukitumia payload zinazodhibitiwa na mshambuliaji.

Ikiwa unaweza kupitisha arbitrary JVM flags (kama AdditionalJavaArguments), lathamisha kosa kwa -XX:MaxMetaspaceSize=<tiny> na ambatanisha -XX:OnOutOfMemoryError="<cmd>" ili kuendesha amri za OS bila kugusa mantiki ya programu. Angalia WebSocket attacks kwa maelekezo ya hatua kwa hatua.

HTTP Headers

Kulingana na vichwa vya HTTP vinavyotolewa na web server, udhaifu fulani unaweza kuwepo.

• Clickjacking
• Iframe Traps / Click Isolation
• Content Security Policy bypass
• Cookies Hacking
• CORS - Misconfigurations & Bypass

Bypasses

Kuna kazi maalum kadhaa ambapo mbinu za kuzunguka zinaweza kuwa muhimu kuzipitisha vizuizi.

• 2FA/OTP Bypass
• Bypass Payment Process
• Captcha Bypass
• Account Takeover Playbooks
• Login Bypass
• Race Condition
• Rate Limit Bypass
• Reset Forgotten Password Bypass
• Registration Vulnerabilities

Structured objects / Specific functionalities

Baadhi ya kazi zitahitaji data kuwa imepangwa kwa muundo maalum (kama kitu serialized cha lugha au XML). Kwa hivyo, ni rahisi kutambua kama programu inaweza kuwa dhaifu kwani inahitaji kushughulikia aina hiyo ya data.
Kazi maalum zinaweza pia kuwa dhaifu ikiwa muundo maalum wa ingizo utatumika (kama Email Header Injections).

• Deserialization
• Email Header Injection
• JWT Vulnerabilities
• JSON / XML / YAML Hacking
• XML External Entity
• GraphQL Attacks
• gRPC-Web Attacks
• SOAP/JAX-WS ThreadLocal Auth Bypass

Faili

Kazi zinazoruhusu kupakia faili zinaweza kuwa dhaifu kwa masuala kadhaa.
Kazi zinazozalisha faili zikiwemo ingizo la mtumiaji zinaweza kutekeleza nambari isiyotarajiwa.
Watumiaji wanaofungua faili zilizopakiwa na watumiaji wengine au zinazozalishwa moja kwa moja zikiwa na ingizo la mtumiaji wanaweza kuathiriwa.

• File Upload
• Formula Injection
• PDF Injection
• Server Side XSS

External Identity Management

• OAUTH to Account takeover
• SAML Attacks

Udhaifu Nyingine Zinazoweza Kusaidia

Udhaifu hawa wanaweza kusaidia kutekeleza udhaifu mwingine.

• Domain/Subdomain takeover
• IDOR
• Mass Assignment (CWE-915)
• Parameter Pollution
• Unicode Normalization vulnerability

Web Servers & Middleware

Mipangilio isiyo sahihi kwenye edge stack mara nyingi hufungua mende zenye athari kubwa zaidi kwenye ngazi ya programu.

• Apache
• Nginx
• IIS
• Tomcat
• Spring Actuators
• PUT Method / WebDAV
• Special HTTP Headers
• WSGI Deployment
• Werkzeug Debug Exposure

Application Frameworks & Stacks

Primitives maalum za framework mara nyingi zinaonyesha gadgets, defaults hatari, au endpoints zinazomilikiwa na framework.

• Django
• Flask
• NodeJS / Express
• Angular
• Vue / Nuxt
• Next.js
• Laravel
• Symfony

CMS, SaaS & Managed Platforms

Bidhaa zenye uso mkubwa mara nyingi zinakuja na exploits zilizojulikana, plugins dhaifu, au endpoints za admin zenye vizuizi.

• WordPress
• Joomla
• Drupal
• Moodle
• Prestashop
• Atlassian Jira
• Grafana
• Rocket.Chat
• Zabbix
• Microsoft SharePoint
• Sitecore

APIs, Buckets & Integrations

Wasaidizi upande wa server na integrasheni za wahusika wa tatu zinaweza kufunua udhaifu wa uchanganuzi wa faili au tabaka la uhifadhi.

• Web API Pentesting
• Storage Buckets & Firebase
• Imagemagick Security
• Artifactory & Package Registries
• Code Review Tooling

Supply Chain & Identifier Abuse

Mashambulizi yanayolenga mitiririko ya ujenzi au vitambulisho vinavyotarajiwa yanaweza kuwa nguzo ya mwanzo kabla ya kutekeleza mende za kawaida.

• Dependency Confusion
• Timing Attacks
• UUID Insecurities

Web3, Extensions & Tooling

Maombi ya kisasa yanapanuka kwenye vichujio vya kivinjari, pochi, na pipeline za uendeshaji—hifadhi vigezo hivi ndani ya wigo.

• dApps / Decentralized Applications
• Browser Extension Pentesting
• wfuzz Web Fuzzing

Marejeo

• When WebSockets Lead to RCE in CurseForge

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

• Angalia mpango wa usajili!
• Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
• Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.