Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-24 21:53:54 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['pentesting-web/login-bypass/README.md'] to gr

Browse source
This commit is contained in:
Translator 2024-10-16 10:30:12 +00:00
parent c93aaa8c9b
commit 1ae59e465a
1 changed files with 9 additions and 8 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

17
pentesting-web/login-bypass/README.md
View file

@ -34,7 +34,7 @@
* Ελέγξτε το πιθανό σφάλμα ανάλυσης nodejs (διαβάστε [**αυτό**](https://flattsecurity.medium.com/finding-an-unseen-sql-injection-by-bypassing-escape-functions-in-mysqljs-mysql-90b27f6542b4)): `password[password]=1`
* Το nodejs θα μετατρέψει αυτό το payload σε ένα ερώτημα παρόμοιο με το εξής: ` SELECT id, username, left(password, 8) AS snipped_password, email FROM accounts WHERE username='admin' AND`` `` `**`password=password=1`**`;` το οποίο καθιστά το bit του κωδικού πρόσβασης πάντα true.
* Αν μπορείτε να στείλετε ένα αντικείμενο JSON, μπορείτε να στείλετε `"password":{"password": 1}` για να παρακάμψετε τη σύνδεση.
* Θυμηθείτε ότι για να παρακάμψετε αυτή τη σύνδεση πρέπει να **γνωρίζετε και να στείλετε ένα έγκυρο όνομα χρήστη**.
* Θυμηθείτε ότι για να παρακάμψετε αυτή τη σύνδεση πρέπει ακόμα να **γνωρίζετε και να στείλετε ένα έγκυρο όνομα χρήστη**.
* **Προσθέτοντας την επιλογή `"stringifyObjects":true`** κατά την κλήση του `mysql.createConnection` θα μπλοκάρει τελικά όλες τις απροσδόκητες συμπεριφορές όταν το `Object` περάσει ως παράμετρος.
* Ελέγξτε τα διαπιστευτήρια:
* [**Προεπιλεγμένα διαπιστευτήρια**](../../generic-methodologies-and-resources/brute-force.md#default-credentials) της τεχνολογίας/πλατφόρμας που χρησιμοποιείται
@ -102,27 +102,28 @@ admin))(|(|
## Άλλοι Έλεγχοι
* Έλεγξε αν μπορείς να **καταμετρήσεις ονόματα χρηστών** εκμεταλλευόμενος τη λειτουργία εισόδου.
* Έλεγξε αν η **αυτόματη συμπλήρωση** είναι ενεργή στις φόρμες κωδικού/**ευαίσθητης** πληροφορίας **εισόδου:** `<input autocomplete="false"`
* Έλεγξε αν μπορείς να **αριθμήσεις ονόματα χρηστών** εκμεταλλευόμενος τη λειτουργία εισόδου.
* Έλεγξε αν είναι ενεργοποιημένο το **αυτόματη συμπλήρωση** στις φόρμες κωδικού/**ευαίσθητης** πληροφορίας **εισόδου:** `<input autocomplete="false">`
## Αυτόματα Εργαλεία
* [HTLogin](https://github.com/akinerkisa/HTLogin)
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
[**RootedCON**](https://www.rootedcon.com/) είναι το πιο σχετικό γεγονός κυβερνοασφάλειας στην **Ισπανία** και ένα από τα πιο σημαντικά στην **Ευρώπη**. Με **αποστολή την προώθηση της τεχνικής γνώσης**, αυτό το συνέδριο είναι ένα καυτό σημείο συνάντησης για επαγγελματίες τεχνολογίας και κυβερνοασφάλειας σε κάθε πειθαρχία.
[**RootedCON**](https://www.rootedcon.com/) είναι το πιο σχετικό γεγονός κυβερνοασφάλειας στην **Ισπανία** και ένα από τα πιο σημαντικά στην **Ευρώπη**. Με **αποστολή την προώθηση τεχνικής γνώσης**, αυτό το συνέδριο είναι ένα καυτό σημείο συνάντησης για επαγγελματίες τεχνολογίας και κυβερνοασφάλειας σε κάθε πειθαρχία.
{% embed url="https://www.rootedcon.com/" %}
{% hint style="success" %}
Μάθε & εξάσκησε Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Μάθε & εξάσκησε Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
Μάθε & εξάσκησε το AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Μάθε & εξάσκησε το GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Υποστήριξε το HackTricks</summary>
* Έλεγξε τα [**σχέδια συνδρομής**](https://github.com/sponsors/carlospolop)!
* **Συμμετάσχετε στο** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) ή στο [**telegram group**](https://t.me/peass) ή **ακολούθησέ** μας στο **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Συμμετοχή στο** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) ή στο [**telegram group**](https://t.me/peass) ή **ακολούθησέ** μας στο **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Μοιράσου κόλπα hacking υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>