hacktricks/network-services-pentesting/pentesting-web/gwt-google-web-toolkit.md

# GWT - Google Web Toolkit

GWT (Google Web Toolkit) je open-source framework koji omogućava razvoj i optimizaciju web aplikacija pomoću Java programskog jezika. GWT kompajlira Java kod u efikasan JavaScript kod koji se može izvršavati na različitim web pregledačima.

## Arhitektura GWT-a

GWT se sastoji od tri glavna dela:

1. **Klijentska strana**: Ovde se nalazi Java kod koji se kompajlira u JavaScript i izvršava se na klijentskom uređaju. Ova strana je odgovorna za interakciju sa korisnikom i prikazivanje grafičkog korisničkog interfejsa.

2. **Server strana**: Ovde se nalazi Java kod koji se izvršava na serveru. Ova strana je odgovorna za obradu zahteva korisnika, pristup bazi podataka i poslovnu logiku aplikacije.

3. **Komunikacija**: GWT koristi RPC (Remote Procedure Call) mehanizam za komunikaciju između klijentske i serverske strane. RPC omogućava pozivanje metoda na serverskoj strani iz klijentske strane i prenos podataka između njih.

## GWT Pentesting Tehnike

Prilikom pentestinga GWT aplikacija, neke od ključnih tehnika koje se mogu koristiti su:

1. **Reverse Engineering**: Analiziranje JavaScript koda generisanog od strane GWT-a kako bi se razumela logika aplikacije i identifikovali potencijalni bezbednosni propusti.

2. **Brute Forcing**: Pokušaj pronalaženja slabih lozinki ili otkrivanje osetljivih direktorijuma na serveru.

3. **XSS (Cross-Site Scripting)**: Injektiranje zlonamernog koda u GWT aplikaciju kako bi se izvršio na klijentskom uređaju korisnika.

4. **CSRF (Cross-Site Request Forgery)**: Iskorišćavanje nedostataka u implementaciji CSRF za napad na GWT aplikaciju.

5. **SQL Injection**: Pokušaj ubacivanja zlonamernih SQL upita kako bi se pristupilo ili modifikovalo bazu podataka.

6. **File Inclusion**: Iskorišćavanje slabosti u uključivanju datoteka kako bi se pristupilo osetljivim informacijama ili izvršio zlonamerni kod.

7. **Session Hijacking**: Napad na sesiju korisnika kako bi se preuzela kontrola nad njenim nalogom.

8. **Server-Side Request Forgery (SSRF)**: Iskorišćavanje GWT funkcionalnosti za izvršavanje neovlašćenih zahteva na drugim serverima.

Ove tehnike mogu biti korisne prilikom pentestinga GWT aplikacija kako bi se identifikovali bezbednosni propusti i preporučile odgovarajuće mere zaštite.
GITBOOK-4247: change request with no subject merged in GitBook 2024-02-09 00:32:07 +00:00			`# GWT - Google Web Toolkit`

Translated to Serbian 2024-02-10 13:11:20 +00:00			`GWT (Google Web Toolkit) je open-source framework koji omogućava razvoj i optimizaciju web aplikacija pomoću Java programskog jezika. GWT kompajlira Java kod u efikasan JavaScript kod koji se može izvršavati na različitim web pregledačima.`

			`## Arhitektura GWT-a`

			`GWT se sastoji od tri glavna dela:`

			`1. Klijentska strana: Ovde se nalazi Java kod koji se kompajlira u JavaScript i izvršava se na klijentskom uređaju. Ova strana je odgovorna za interakciju sa korisnikom i prikazivanje grafičkog korisničkog interfejsa.`

			`2. Server strana: Ovde se nalazi Java kod koji se izvršava na serveru. Ova strana je odgovorna za obradu zahteva korisnika, pristup bazi podataka i poslovnu logiku aplikacije.`

			`3. Komunikacija: GWT koristi RPC (Remote Procedure Call) mehanizam za komunikaciju između klijentske i serverske strane. RPC omogućava pozivanje metoda na serverskoj strani iz klijentske strane i prenos podataka između njih.`

			`## GWT Pentesting Tehnike`

			`Prilikom pentestinga GWT aplikacija, neke od ključnih tehnika koje se mogu koristiti su:`

			`1. Reverse Engineering: Analiziranje JavaScript koda generisanog od strane GWT-a kako bi se razumela logika aplikacije i identifikovali potencijalni bezbednosni propusti.`

			`2. Brute Forcing: Pokušaj pronalaženja slabih lozinki ili otkrivanje osetljivih direktorijuma na serveru.`

			`3. XSS (Cross-Site Scripting): Injektiranje zlonamernog koda u GWT aplikaciju kako bi se izvršio na klijentskom uređaju korisnika.`

			`4. CSRF (Cross-Site Request Forgery): Iskorišćavanje nedostataka u implementaciji CSRF za napad na GWT aplikaciju.`

			`5. SQL Injection: Pokušaj ubacivanja zlonamernih SQL upita kako bi se pristupilo ili modifikovalo bazu podataka.`

			`6. File Inclusion: Iskorišćavanje slabosti u uključivanju datoteka kako bi se pristupilo osetljivim informacijama ili izvršio zlonamerni kod.`

			`7. Session Hijacking: Napad na sesiju korisnika kako bi se preuzela kontrola nad njenim nalogom.`

			`8. Server-Side Request Forgery (SSRF): Iskorišćavanje GWT funkcionalnosti za izvršavanje neovlašćenih zahteva na drugim serverima.`

			`Ove tehnike mogu biti korisne prilikom pentestinga GWT aplikacija kako bi se identifikovali bezbednosni propusti i preporučile odgovarajuće mere zaštite.`