<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
**Trenutno dostupno podešavanje za procenu ranjivosti & testiranje proboja**. Pokrenite pun pentest odakle god sa 20+ alata i funkcija koje idu od rekonstrukcije do izveštavanja. Mi ne zamenjujemo pentestere - mi razvijamo prilagođene alate, module za otkrivanje & eksploataciju kako bismo im vratili neko vreme da dublje kopaju, otvaraju školjke i zabavljaju se.
* Proverite odgovor zaglavlja, možda se može dobiti neke informacije. Na primer, **200 odgovor** na **HEAD** sa `Content-Length: 55` znači da **HEAD glagol može pristupiti informacijama**. Ali i dalje morate pronaći način da te informacije izvučete.
* Korišćenje HTTP zaglavlja poput `X-HTTP-Method-Override: PUT` može prebrisati korišćeni glagol.
* Koristite **`TRACE`** glagol i ako imate sreće možda u odgovoru možete videti i **zaglavlja dodata od strane posredničkih proxy-ja** što može biti korisno.
* **Promenite Host zaglavlje** u neku proizvoljnu vrednost ([koja je ovde radila](https://medium.com/@sechunter/exploiting-admin-panel-like-a-boss-fc2dd2499d31))
* Pokušajte [**koristiti druge korisničke agente**](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/User-Agents/UserAgents.fuzz.txt) za pristup resursu.
***Fazirajte HTTP zaglavlja**: Pokušajte korišćenje HTTP Proxy **zaglavlja**, HTTP Authentication Basic i NTLM brute-force (samo sa nekoliko kombinacija) i druge tehnike. Za sve ovo sam kreirao alat [**fuzzhttpbypass**](https://github.com/carlospolop/fuzzhttpbypass).
* Ako je stranica **iza proksija**, možda je proksi taj koji vam sprečava pristup privatnim informacijama. Pokušajte zloupotrebiti [**HTTP Request Smuggling**](../../pentesting-web/http-request-smuggling/) **ili** [**hop-by-hop zaglavlja**](../../pentesting-web/abusing-hop-by-hop-headers.md)**.**
* Pokušajte koristiti _**/**_**%2e/putanja \_(ako je pristup blokiran od strane proksija, ovo bi moglo da zaobiđe zaštitu). Pokušajte takođe**\_\*\* /%252e\*\*/putanja (dvostruko URL enkodirano)
* Pokušajte **Unicode zaobilaženje**: _/**%ef%bc%8f**putanja_ (URL enkodirani karakteri su poput "/") tako da kada se enkodiraju nazad biće _//putanja_ i možda ste već zaobišli proveru imena _/putanja_
* Pokušajte da **opteretite server** slanjem uobičajenih GET zahteva ([To je uspelo ovom momku sa Facebookom](https://medium.com/@amineaboud/story-of-a-weird-vulnerability-i-found-on-facebook-fc0875eb5125)).
**Trenutno dostupno podešavanje za procenu ranjivosti i testiranje proboja**. Pokrenite kompletan pentest od bilo kog mesta sa preko 20 alata i funkcija koje idu od izviđanja do izveštavanja. Ne zamenjujemo pentestere - razvijamo prilagođene alate, module za otkrivanje i eksploataciju kako bismo im vratili nešto vremena da dublje kopaju, otvaraju ljuske i zabavljaju se.
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili **pratite** nas na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**