hacktricks/pentesting-web/client-side-path-traversal.md

8 lines
866 B
Markdown
Raw Normal View History

2023-06-05 18:33:24 +00:00
## Información Básica
Una manipulación de ruta del lado del cliente ocurre cuando se puede **manipular la ruta de una URL** que va a ser **enviada a un usuario para que la visite de manera legítima** o que un usuario de alguna manera va a ser **forzado a visitar, por ejemplo, a través de JS o CSS**.
En [**este informe**](https://erasec.be/blog/client-side-path-manipulation/), fue posible **cambiar la URL de invitación** para que terminara **cancelando una tarjeta**.
En [**este informe**](https://mr-medi.github.io/research/2022/11/04/practical-client-side-path-traversal-attacks.html), fue posible combinar una **manipulación de ruta del lado del cliente a través de CSS** (fue posible cambiar la ruta desde donde se cargaba un recurso CSS) con una **redirección abierta** para cargar el recurso CSS desde un **dominio controlado por el atacante**.