hacktricks/pentesting-web/client-side-path-traversal.md

# クライアントサイドパストラバーサル

{% hint style="success" %}
AWSハッキングを学び、実践する：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCPハッキングを学び、実践する：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricksをサポートする</summary>

* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください！
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
* **[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してハッキングトリックを共有してください。**

</details>
{% endhint %}

## 基本情報

クライアントサイドパストラバーサルは、**ユーザーが正当な方法で訪れるために送信されるURLのパスを操作できる**場合や、ユーザーが**JSやCSSを介して強制的に訪れることになる**場合に発生します。

[**このレポート**](https://erasec.be/blog/client-side-path-manipulation/)では、**招待URLを変更することが可能**で、結果的に**カードをキャンセルする**ことができました。

[**このレポート**](https://mr-medi.github.io/research/2022/11/04/practical-client-side-path-traversal-attacks.html)では、**CSSを介したクライアントサイドパストラバーサル**（CSSリソースが読み込まれるパスを変更することが可能）と**オープンリダイレクト**を組み合わせて、**攻撃者が制御するドメイン**からCSSリソースを読み込むことができました。

{% hint style="success" %}
AWSハッキングを学び、実践する：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCPハッキングを学び、実践する：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricksをサポートする</summary>

* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください！
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
* **[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してハッキングトリックを共有してください。**

</details>
{% endhint %}
-												Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md',

											
										
										
											2024-02-09 08:23:12 +00:00
+								# クライアントサイドパストラバーサル
-												GitBook: [#3748] No subject

											
										
										
											2023-01-13 10:30:46 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:21:08 +00:00
+								{% hint style="success" %}
 								AWSハッキングを学び、実践する：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
 								GCPハッキングを学び、実践する：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
-												GitBook: [#3748] No subject

											
										
										
											2023-01-13 10:30:46 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:21:08 +00:00
+								<details>
-												GitBook: [#3748] No subject

											
										
										
											2023-01-13 10:30:46 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:21:08 +00:00
+								<summary>HackTricksをサポートする</summary>
-												Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md',

											
										
										
											2024-02-09 08:23:12 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:21:08 +00:00
+								* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください！
 								* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
 								* **[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してハッキングトリックを共有してください。**
-												GitBook: [#3748] No subject

											
										
										
											2023-01-13 10:30:46 +00:00
 								</details>
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:21:08 +00:00
+								{% endhint %}
-												GitBook: [#3748] No subject

											
										
										
											2023-01-13 10:30:46 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								## 基本情報
-												GitBook: [#3748] No subject

											
										
										
											2023-01-13 10:30:46 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:21:08 +00:00
+								クライアントサイドパストラバーサルは、**ユーザーが正当な方法で訪れるために送信されるURLのパスを操作できる**場合や、ユーザーが**JSやCSSを介して強制的に訪れることになる**場合に発生します。
 								[**このレポート**](https://erasec.be/blog/client-side-path-manipulation/)では、**招待URLを変更することが可能**で、結果的に**カードをキャンセルする**ことができました。
-												GitBook: [#3748] No subject

											
										
										
											2023-01-13 10:30:46 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:21:08 +00:00
+								[**このレポート**](https://mr-medi.github.io/research/2022/11/04/practical-client-side-path-traversal-attacks.html)では、**CSSを介したクライアントサイドパストラバーサル**（CSSリソースが読み込まれるパスを変更することが可能）と**オープンリダイレクト**を組み合わせて、**攻撃者が制御するドメイン**からCSSリソースを読み込むことができました。
-												GitBook: [#3748] No subject

											
										
										
											2023-01-13 10:30:46 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:21:08 +00:00
+								{% hint style="success" %}
 								AWSハッキングを学び、実践する：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
 								GCPハッキングを学び、実践する：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
 								<details>
 								<summary>HackTricksをサポートする</summary>
 								* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください！
 								* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
 								* **[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してハッキングトリックを共有してください。**
 								</details>
 								{% endhint %}