Web Zafiyetleri Metodolojisi

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Her Web Pentest’te, potansiyel olarak zayıf olabilecek birkaç gizli ve belirgin yer vardır. Bu yazı, tüm mümkün yerlerde zafiyet aradığınızdan emin olmanız için bir kontrol listesi olarak hazırlanmıştır.

Proxies

Tip

Günümüzde web uygulamaları genellikle bazı ara proxy’ler kullanır; bunlar zafiyetleri sömürmek için (ab)kullanılabilir. Bu zafiyetlerin ortaya çıkması için kırılgan bir proxy bulunması gerekir, ancak genellikle backend tarafında ek bir zafiyet de gerekir.

• Abusing hop-by-hop headers
• Cache Poisoning/Cache Deception
• HTTP Connection Contamination
• HTTP Connection Request Smuggling
• HTTP Request Smuggling
• HTTP Response Smuggling / Desync
• H2C Smuggling
• Server Side Inclusion/Edge Side Inclusion
• Uncovering Cloudflare
• XSLT Server Side Injection
• Proxy / WAF Protections Bypass

Kullanıcı girdisi

Tip

Çoğu web uygulaması, daha sonra işlenecek bazı verilerin kullanıcılar tarafından girilmesine izin verir. Sunucunun beklediği verinin yapısına bağlı olarak bazı zafiyetler uygulanabilir veya uygulanmayabilir.

Reflected Values

Girilen veri bir şekilde yanıt içinde yansıtılıyorsa, sayfa çeşitli zafiyetlere açık olabilir.

• Client Side Path Traversal
• Client Side Template Injection
• Command Injection
• CRLF
• Dangling Markup
• File Inclusion/Path Traversal
• Open Redirect
• Prototype Pollution to XSS
• Server Side Inclusion/Edge Side Inclusion
• Server Side Request Forgery
• Server Side Template Injection
• Reverse Tab Nabbing
• XSLT Server Side Injection
• XSS
• XSSI
• XS-Search

Bahsedilen bazı zafiyetler özel koşullar gerektirir, bazıları ise sadece içeriğin yansıtılmasını gerektirir. Zafiyetleri hızlıca test etmek için ilginç polygloths’ları şurada bulabilirsiniz:

Reflecting Techniques - PoCs and Polygloths CheatSheet

Search functionalities

Eğer fonksiyon backend içinde bir tür veri aramak için kullanılabiliyorsa, onu keyfi veri aramak için (ab)kullanabilirsiniz.

• File Inclusion/Path Traversal
• NoSQL Injection
• LDAP Injection
• ReDoS
• SQL Injection
• ORM Injection
• RSQL Injection
• XPATH Injection

Forms, WebSockets and PostMsgs

Bir websocket mesaj gönderdiğinde veya kullanıcıların işlem yapmasına izin veren bir form olduğunda zafiyetler ortaya çıkabilir.

• Cross Site Request Forgery
• Cross-site WebSocket hijacking (CSWSH)
• Phone Number Injections
• PostMessage Vulnerabilities

Cross-site WebSocket hijacking & localhost abuse

WebSocket yükseltmeleri çerezleri otomatik olarak iletir ve ws://127.0.0.1’i engellemez, bu yüzden herhangi bir web origin masaüstü IPC uç noktalarını Origin doğrulamasını atlayarak kullanabilir. Yerel bir ajan aracılığıyla JSON-RPC-benzeri bir API açığa çıkaran bir launcher gördüğünüzde:

• Yayınlanan frame’leri gözlemleyip her yöntem için gereken type/name/args demetlerini klonlayın.
• Dinleme portunu tarayıcıdan doğrudan brute-force ile deneyin (Chromium yaklaşık ~16k başarısız yükseltmeyi kaldırır) ta ki bir loopback soketi protokol banner’ı ile cevap verene kadar — Firefox aynı yük altında hızlıca çökme eğilimindedir.
• Bir create → privileged action çiftini zincirleyin: örn., GUID döndüren bir create* metodunu çağırıp hemen saldırgan kontrollü payload’larla karşılık gelen *Launch* metodunu çağırın.

Eğer keyfi JVM bayrakları (ör. AdditionalJavaArguments) geçirebiliyorsanız, -XX:MaxMetaspaceSize=<tiny> ile bir hata zorlayın ve uygulama mantığına dokunmadan OS komutları çalıştırmak için -XX:OnOutOfMemoryError="<cmd>" ekleyin. Adım adım rehber için WebSocket attacks’a bakın.

HTTP Headers

Web sunucusu tarafından gönderilen HTTP başlıklarına bağlı olarak bazı zafiyetler mevcut olabilir.

• Clickjacking
• Iframe Traps / Click Isolation
• Content Security Policy bypass
• Cookies Hacking
• CORS - Misconfigurations & Bypass

Bypasses

Bazı belirli işlevlerde onlar için işe yarayabilecek çeşitli yöntemler olabilir

• 2FA/OTP Bypass
• Bypass Payment Process
• Captcha Bypass
• Account Takeover Playbooks
• Login Bypass
• Race Condition
• Rate Limit Bypass
• Reset Forgotten Password Bypass
• Registration Vulnerabilities

Structured objects / Specific functionalities

Bazı işlevler verinin çok özel bir formatta (ör. dilde serileştirilmiş bir obje veya XML) yapılandırılmasını gerektirir. Bu nedenle uygulamanın bu tür verileri işliyor olması durumunda zafiyetli olup olmadığını tespit etmek daha kolaydır. Bazı belirli işlevler ayrıca girişin belirli bir formatı kullanılması durumunda (ör. Email Header Injections) zafiyetli olabilir.

• Deserialization
• Email Header Injection
• JWT Vulnerabilities
• JSON / XML / YAML Hacking
• XML External Entity
• GraphQL Attacks
• gRPC-Web Attacks
• SOAP/JAX-WS ThreadLocal Auth Bypass

Dosyalar

Dosya yüklemeye izin veren işlevler çeşitli sorunlara açık olabilir. Kullanıcı girdisi içeren dosyalar üreten işlevler beklenmeyen kod çalıştırabilir. Kullanıcılar, diğer kullanıcılar tarafından yüklenen veya otomatik olarak üretilmiş ve kullanıcı girdisi içeren dosyaları açtıklarında tehlikeye düşebilir.

• File Upload
• Formula Injection
• PDF Injection
• Server Side XSS

External Identity Management

• OAUTH to Account takeover
• SAML Attacks

Other Helpful Vulnerabilities

Bu zafiyetler diğer zafiyetleri sömürmede yardımcı olabilir.

• Domain/Subdomain takeover
• IDOR
• Mass Assignment (CWE-915)
• Parameter Pollution
• Unicode Normalization vulnerability

Web Servers & Middleware

Edge yığınındaki yanlış yapılandırmalar genellikle uygulama katmanında daha etkili hataların ortaya çıkmasını sağlar.

• Apache
• Nginx
• IIS
• Tomcat
• Spring Actuators
• PUT Method / WebDAV
• Special HTTP Headers
• WSGI Deployment
• Werkzeug Debug Exposure

Application Frameworks & Stacks

Framework’e özgü primitifler sıkça gadget’lar, tehlikeli varsayılanlar veya framework’e ait endpoint’ler açığa çıkarır.

• Django
• Flask
• NodeJS / Express
• Angular
• Vue / Nuxt
• Next.js
• Laravel
• Symfony

CMS, SaaS & Managed Platforms

Geniş yüzeye sahip ürünler genellikle bilinen exploit’ler, zayıf eklentiler veya ayrıcalıklı admin endpoint’leri ile gelir.

• WordPress
• Joomla
• Drupal
• Moodle
• Prestashop
• Atlassian Jira
• Grafana
• Rocket.Chat
• Zabbix
• Microsoft SharePoint
• Sitecore

APIs, Buckets & Integrations

Sunucu tarafı yardımcıları ve üçüncü taraf entegrasyonları dosya ayrıştırma veya depolama katmanı zayıflıklarını açığa çıkarabilir.

• Web API Pentesting
• Storage Buckets & Firebase
• Imagemagick Security
• Artifactory & Package Registries
• Code Review Tooling

Supply Chain & Identifier Abuse

Build pipeline’larını veya tahmin edilebilir tanımlayıcıları hedef alan saldırılar, geleneksel hataları sömürmeden önce ilk giriş noktası olabilir.

• Dependency Confusion
• Timing Attacks
• UUID Insecurities

Web3, Extensions & Tooling

Modern uygulamalar tarayıcılara, cüzdanlara ve otomasyon pipeline’larına genişler—bu vektörleri kapsam dahilinde tutun.

• dApps / Decentralized Applications
• Browser Extension Pentesting
• wfuzz Web Fuzzing

Referanslar

• When WebSockets Lead to RCE in CurseForge

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.