Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 14:40:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/account-takeover.md

122 lines
6.3 KiB
Markdown
Raw Normal View History

Translated to Afrikaans
2024-02-11 02:07:06 +00:00
# Rekening Oorname
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
<details>
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
fix
2024-02-03 12:22:53 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-opslagplekke.
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
</details>
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **Goedkeuringsprobleem**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Die e-pos van 'n rekening moet probeer word om verander te word, en die bevestigingsproses **moet ondersoek word**. As dit as **swak** bevind word, moet die e-pos verander word na dié van die beoogde slagoffer en dan bevestig word.
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **Unicode Normaliseringprobleem**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
1. Die rekening van die beoogde slagoffer `victim@gmail.com`
2. 'n Rekening moet geskep word deur Unicode te gebruik\
byvoorbeeld: `vićtim@gmail.com`
a
2024-02-06 03:10:38 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Vir verdere besonderhede, verwys na die dokument oor Unicode Normalisering:
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
[unicode-normalization.md](unicode-injection/unicode-normalization.md)
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **Herbruik van Herstelkodes**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As die teikensisteem die **herstelskakel hergebruik**, moet pogings aangewend word om **meer herstelskakels te vind** deur middel van gereedskap soos `gau`, `wayback`, of `scan.io`.
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **Voor Rekening Oorname**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
1. Die slagoffer se e-pos moet gebruik word om op die platform te registreer, en 'n wagwoord moet ingestel word (daar moet gepoog word om dit te bevestig, alhoewel die gebrek aan toegang tot die slagoffer se e-posse dit onmoontlik kan maak).
2. Een moet wag totdat die slagoffer aanmeld met behulp van OAuth en die rekening bevestig.
3. Daar word gehoop dat die gewone registrasie bevestig sal word, wat toegang tot die slagoffer se rekening sal gee.
a
2024-02-06 03:10:38 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **CORS-foutkonfigurasie vir Rekening Oorname**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As die bladsy **CORS-foutkonfigurasies** bevat, kan jy dalk in staat wees om **sensitiewe inligting** van die gebruiker te **steel om sy rekening oor te neem** of hom te dwing om outentiseringsinligting te verander vir dieselfde doel:
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
{% content-ref url="cors-bypass.md" %}
[cors-bypass.md](cors-bypass.md)
{% endcontent-ref %}
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **Csrf vir Rekening Oorname**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As die bladsy vatbaar is vir CSRF, kan jy dalk die **gebruiker dwing om sy wagwoord**, e-pos of outentisering te verander sodat jy dit dan kan toegang:
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
{% content-ref url="csrf-cross-site-request-forgery.md" %}
[csrf-cross-site-request-forgery.md](csrf-cross-site-request-forgery.md)
{% endcontent-ref %}
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **XSS vir Rekening Oorname**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As jy 'n XSS in die toepassing vind, kan jy dalk koekies, plaaslike stoor, of inligting van die webblad stal wat jou in staat kan stel om die rekening oor te neem:
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
{% content-ref url="xss-cross-site-scripting/" %}
[xss-cross-site-scripting](xss-cross-site-scripting/)
{% endcontent-ref %}
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **Gelyke Oorsprong + Koekies**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As jy 'n beperkte XSS of 'n subdomein oorneem, kan jy speel met die koekies (dit byvoorbeeld vasstel) om te probeer om die slagoffer se rekening te kompromitteer:
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
{% content-ref url="hacking-with-cookies/" %}
[hacking-with-cookies](hacking-with-cookies/)
{% endcontent-ref %}
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **Aanval op Wagwoordherstel Meganisme**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
{% content-ref url="reset-password.md" %}
[reset-password.md](reset-password.md)
{% endcontent-ref %}
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## **Responsmanipulasie**
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As die outentiseringsrespons **verminder kan word tot 'n eenvoudige booleaanse waarde, probeer dan om vals na waar te verander** en kyk of jy enige toegang kry.
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## OAuth vir Rekening Oorname
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
GITBOOK-3788: No subject
2023-02-16 18:26:56 +00:00
{% content-ref url="oauth-to-account-takeover.md" %}
[oauth-to-account-takeover.md](oauth-to-account-takeover.md)
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
{% endcontent-ref %}
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## Hostkopinjeksie
a
2024-02-06 03:10:38 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
1. Die Host-kop word gewysig na aanleiding van 'n versoek om 'n wagwoord te herstel.
2. Die `X-Forwarded-For`-proksikop word verander na `attacker.com`.
3. Die Host-, Verwysings- en Oorsprongkoppe word gelyktydig verander na `attacker.com`.
4. Nadat 'n wagwoordherstel geïnisieer is en dan gekies word om die e-pos weer te stuur, word al drie van die genoemde metodes gebruik.
a
2024-02-06 03:10:38 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## Responsmanipulasie
a
2024-02-06 03:10:38 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
1. **Kode-manipulasie**: Die statuskode word verander na `200 OK`.
2. **Kode- en Liggaammanipulasie**:
- Die statuskode word verander na `200 OK`.
- Die responsliggaam word verander na `{"success":true}` of 'n leë voorwerp `{}`.
a
2024-02-06 03:10:38 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Hierdie manipulasietegnieke is effektief in scenario's waar JSON gebruik word vir die oordrag en ontvangs van data.
a
2024-02-06 03:10:38 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## Verwysings
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
* [https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050](https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050)
<details>
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
fix
2024-02-03 12:22:53 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-opslagplekke.
GitBook: [#3641] No subject
2022-11-03 10:18:27 +00:00
</details>
Reference in a new issue Copy permalink