<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
## **Manipulowanie danymi gRPC-Web**
gRPC-Web używa Content-Type: `application/grpc-web-text` w żądaniach, które są rodzajem protobuf w formie zakodowanej w base64. Możesz użyć narzędzia [gprc-coder](https://github.com/nxenon/grpc-pentest-suite), a także zainstalować jego [Rozszerzenie dla Burp Suite](https://github.com/nxenon/grpc-pentest-suite).
W przypadku, gdy chcesz przechwycić i zmodyfikować żądania i odpowiedzi gRPC, możesz skorzystać z funkcji intercepcji w narzędziu Burp. Aby to zrobić, wykonaj następujące kroki:
1. Uruchom Burp Suite i skonfiguruj przeglądarkę internetową, aby korzystała z proxy Burp.
2. Przejdź do zakładki "Proxy" w Burp Suite i włącz intercepcję.
3. Wykonaj żądanie gRPC, które chcesz przechwycić.
4. Gdy żądanie pojawi się w intercepcie Burp, możesz je zobaczyć i zmodyfikować przed wysłaniem.
5. Po dokonaniu odpowiednich zmian, kliknij przycisk "Forward" w intercepcie, aby wysłać zmodyfikowane żądanie.
6. Odpowiedź gRPC również pojawi się w intercepcie, gdzie możesz ją zobaczyć i zmodyfikować przed odesłaniem do klienta.
Dzięki temu podejściu możesz kontrolować i manipulować danymi przesyłanymi przez protokół gRPC, co może być przydatne podczas testowania penetracyjnego aplikacji webowych.
### **Podręcznik z rozszerzeniem Burp Suite dla gRPC-Web Coder**
Możesz użyć rozszerzenia Burp Suite dla gRPC-Web Coder w [gRPC-Web Pentest Suite](https://github.com/nxenon/grpc-pentest-suite), co jest prostsze. Instrukcje dotyczące instalacji i użycia znajdziesz w repozytorium.
## **Analiza plików Javascript gRPC-Web**
W każdej aplikacji gRPC-Web znajduje się co najmniej jeden plik Javascript. Możesz przeanalizować ten plik, aby znaleźć nowe wiadomości, punkty końcowe i usługi. Spróbuj użyć narzędzia [gRPC-Scan](https://github.com/nxenon/grpc-pentest-suite).
1. Pobierz plik Javascript gRPC-Web
2. Przeskanuj go za pomocą grpc-scan.py:
```bash
python3 grpc-scan.py --file main.js
```
3. Analiza wyników i przetestuj nowe punkty końcowe oraz nowe usługi:
* [Włamywanie się do gRPC-Web - artykuł autorstwa Amina Nasiri](https://infosecwriteups.com/hacking-into-grpc-web-a54053757a45)
* [Zestaw narzędzi do pentestowania gRPC-Web](https://github.com/nxenon/grpc-pentest-suite)
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć **reklamę swojej firmy w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi trikami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
