<summary><strong>Jifunze kuhusu kudukua AWS kutoka mwanzo hadi kuwa bingwa na</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
* Ikiwa unataka kuona **kampuni yako inatangazwa kwenye HackTricks** au **kupakua HackTricks kwa muundo wa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
Barua pepe ya akaunti inapaswa kujaribiwa kubadilishwa, na mchakato wa uthibitisho **unapaswa kuchunguzwa**. Ikiwa utagundua kuwa ni **dhaifu**, barua pepe inapaswa kubadilishwa na ile ya mwathirika anayetarajiwa na kisha kuthibitishwa.
Ikiwa mfumo wa lengo unaruhusu **kiungo cha kurejesha kutumika tena**, jitihada zinapaswa kufanywa ili **kupata viungo zaidi vya kurejesha** kwa kutumia zana kama vile `gau`, `wayback`, au `scan.io`.
1. Barua pepe ya mwathirika inapaswa kutumika kujiandikisha kwenye jukwaa, na nenosiri linapaswa kuwekwa (jaribio la kuthibitisha linapaswa kufanywa, ingawa kukosa ufikiaji wa barua pepe za mwathirika kunaweza kufanya hii kuwa haiwezekani).
2. Inapaswa kusubiri hadi mwathirika ajisajili kwa kutumia OAuth na kuthibitisha akaunti.
3. Inatumainiwa kuwa usajili wa kawaida utathibitishwa, kuruhusu ufikiaji wa akaunti ya mwathirika.
Ikiwa ukurasa una **makosa ya uwekaji wa CORS** unaweza kuwa na uwezo wa **kuiba habari nyeti** kutoka kwa mtumiaji ili **kuchukua udhibiti wa akaunti yake** au kumfanya abadilishe habari ya uthibitisho kwa lengo sawa:
Ikiwa ukurasa una kasoro ya CSRF unaweza kuwa na uwezo wa kufanya **mtumiaji abadilishe nenosiri lake**, barua pepe au uthibitisho ili uweze kisha kuipata:
Ikiwa unapata XSS kwenye programu unaweza kuwa na uwezo wa kuiba kuki, uhifadhi wa ndani, au habari kutoka kwenye ukurasa wa wavuti ambayo inaweza kukuruhusu kuchukua udhibiti wa akaunti:
Ikiwa unapata XSS iliyopunguzwa au kuchukua udhibiti wa subdomain, unaweza kucheza na kuki (kuzifunga kwa mfano) kujaribu kudhoofisha akaunti ya mwathirika:
<summary><strong>Jifunze kuhusu kudukua AWS kutoka mwanzo hadi kuwa bingwa na</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
* Ikiwa unataka kuona **kampuni yako inatangazwa kwenye HackTricks** au **kupakua HackTricks kwa muundo wa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
