Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-25 14:10:41 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['pentesting-web/xss-cross-site-scripting/dom-xss.md'] to it

Browse source
This commit is contained in:
Translator 2024-06-06 09:16:16 +00:00
parent 108bed918d
commit 3609b859d8
1 changed files with 60 additions and 57 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

117
pentesting-web/xss-cross-site-scripting/dom-xss.md
View file

@ -1,28 +1,28 @@
# DOM XSS
# XSS DOM
<details>
<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Impara l'hacking AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Esperto Red Team AWS di HackTricks)</strong></a><strong>!</strong></summary>
* Lavori in una **azienda di sicurezza informatica**? Vuoi vedere la tua **azienda pubblicizzata in HackTricks**? o vuoi avere accesso all'**ultima versione di PEASS o scaricare HackTricks in PDF**? Controlla i [**PACCHETTI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* **Unisciti al** [**💬**](https://emojipedia.org/speech-balloon/) [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo Telegram**](https://t.me/peass) o **seguimi** su **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* Lavori in una **azienda di sicurezza informatica**? Vuoi vedere la **tua azienda pubblicizzata su HackTricks**? o vuoi avere accesso all'**ultima versione del PEASS o scaricare HackTricks in PDF**? Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Scopri [**La Famiglia PEASS**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* Ottieni il [**merchandising ufficiale PEASS & HackTricks**](https://peass.creator-spring.com)
* **Unisciti al** [**💬**](https://emojipedia.org/speech-balloon/) [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguimi** su **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR al** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **e al** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Vulnerabilità DOM
Le vulnerabilità DOM si verificano quando i dati provenienti da **fonti** controllate dall'attaccante (come `location.search`, `document.referrer` o `document.cookie`) vengono trasferiti in modo non sicuro a **sinks**. I sinks sono funzioni o oggetti (ad esempio `eval()`, `document.body.innerHTML`) che possono eseguire o renderizzare contenuti dannosi se vengono forniti dati maligni.
Le vulnerabilità DOM si verificano quando i dati provenienti da **fonti** controllate dall'attaccante (come `location.search`, `document.referrer` o `document.cookie`) vengono trasferiti in modo non sicuro a **sinks**. I sinks sono funzioni o oggetti (ad esempio, `eval()`, `document.body.innerHTML`) che possono eseguire o renderizzare contenuti dannosi se forniti con dati maligni.
- Le **fonti** sono input che possono essere manipolati dagli attaccanti, inclusi URL, cookie e messaggi web.
- I **sinks** sono punti finali potenzialmente pericolosi in cui i dati maligni possono causare effetti avversi, come l'esecuzione di script.
* Le **fonti** sono input che possono essere manipolati dagli attaccanti, inclusi URL, cookie e messaggi web.
* I **sinks** sono endpoint potenzialmente pericolosi dove dati maligni possono causare effetti avversi, come l'esecuzione di script.
Il rischio si presenta quando i dati fluiscono da una fonte a un sink senza una corretta convalida o sanificazione, consentendo attacchi come XSS.
Il rischio sorge quando i dati fluiscono da una fonte a un sink senza una corretta convalida o sanificazione, consentendo attacchi come XSS.
{% hint style="info" %}
**Puoi trovare un elenco più aggiornato di fonti e sinks su** [**https://github.com/wisec/domxsswiki/wiki**](https://github.com/wisec/domxsswiki/wiki)
**Puoi trovare una lista più aggiornata di fonti e sinks in** [**https://github.com/wisec/domxsswiki/wiki**](https://github.com/wisec/domxsswiki/wiki)
{% endhint %}
**Fonti comuni:**
@ -42,12 +42,12 @@ sessionStorage
IndexedDB (mozIndexedDB, webkitIndexedDB, msIndexedDB)
Database
```
**Sink comuni:**
**Sink Comuni:**
| [**Redirect aperto**](dom-xss.md#open-redirect) | [**Iniezione di JavaScript**](dom-xss.md#javascript-injection) | [**Manipolazione dei dati DOM**](dom-xss.md#dom-data-manipulation) | **jQuery** |
| [**Reindirizzamento Aperto**](dom-xss.md#open-redirect) | [**Iniezione di Javascript**](dom-xss.md#javascript-injection) | [**Manipolazione dei dati del DOM**](dom-xss.md#dom-data-manipulation) | **jQuery** |
| -------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------- | ------------------------------------------------------------- | ---------------------------------------------------------------------- |
| `location` | `eval()` | `scriptElement.src` | `add()` |
| `location.host` | `Function() constructor` | `scriptElement.text` | `after()` |
| `location.host` | `costruttore Function()` | `scriptElement.text` | `after()` |
| `location.hostname` | `setTimeout()` | `scriptElement.textContent` | `append()` |
| `location.href` | `setInterval()` | `scriptElement.innerText` | `animate()` |
| `location.pathname` | `setImmediate()` | `someDOMElement.setAttribute()` | `insertAfter()` |
@ -72,29 +72,30 @@ Database
| `localStorage.setItem()` | `document.evaluate()` | `document.writeln()` | `$.parseJSON()` |
| **``**[**`Denial of Service`**](dom-xss.md#denial-of-service)**``** | `someDOMElement.evaluate()` | `document.title` | **\`\`**[**Manipolazione dei cookie**](dom-xss.md#cookie-manipulation) |
| `requestFileSystem()` | **\`\`**[**Manipolazione del dominio del documento**](dom-xss.md#document-domain-manipulation) | `document.implementation.createHTMLDocument()` | `document.cookie` |
| `RegExp()` | `document.domain` | `history.pushState()` | [**WebSocket-URL poisoning**](dom-xss.md#websocket-url-poisoning) |
| `RegExp()` | `document.domain` | `history.pushState()` | [**Avvelenamento dell'URL WebSocket**](dom-xss.md#websocket-url-poisoning) |
| [**Iniezione di SQL lato client**](dom-xss.md#client-side-sql-injection) | [**Manipolazione del messaggio Web**](dom-xss.md#web-message-manipulation) | `history.replaceState()` | `WebSocket` |
| `executeSql()` | `postMessage()` | \`\` | \`\` |
Il sink **`innerHTML`** non accetta elementi `script` su nessun browser moderno, né gli eventi `svg onload` verranno attivati. Ciò significa che sarà necessario utilizzare elementi alternativi come `img` o `iframe`.
Il sink **`innerHTML`** non accetta elementi `script` su nessun browser moderno, né verranno attivati eventi `svg onload`. Ciò significa che sarà necessario utilizzare elementi alternativi come `img` o `iframe.
Questo tipo di XSS è probabilmente il **più difficile da trovare**, poiché è necessario esaminare il codice JS, verificare se sta **utilizzando** un oggetto il cui **valore è controllato**, e in tal caso, verificare se c'è **un modo per sfruttarlo** per eseguire JS arbitrario.
Questo tipo di XSS è probabilmente il **più difficile da trovare**, poiché è necessario esaminare il codice JS, verificare se sta **utilizzando** un oggetto il cui **valore si controlla**, e in tal caso, verificare se c'è **qualche modo per abusarne** per eseguire JS arbitrario.
## Strumenti per trovarli
* [https://github.com/mozilla/eslint-plugin-no-unsanitized](https://github.com/mozilla/eslint-plugin-no-unsanitized)
* Estensione del browser per controllare ogni dato che raggiunge un sink potenziale: [https://github.com/kevin-mizu/domloggerpp](https://github.com/kevin-mizu/domloggerpp)
## Esempi
### Redirect aperto
### Reindirizzamento Aperto
Da: [https://portswigger.net/web-security/dom-based/open-redirection](https://portswigger.net/web-security/dom-based/open-redirection)
Le vulnerabilità di **redirect aperto nel DOM** si verificano quando uno script scrive dati, che un attaccante può controllare, in un sink in grado di avviare la navigazione tra domini.
Le **vulnerabilità di reindirizzamento aperto nel DOM** si verificano quando uno script scrive dati, che un attaccante può controllare, in un sink in grado di avviare la navigazione tra domini.
È fondamentale capire che è possibile eseguire codice arbitrario, come **`javascript:alert(1)`**, se si ha il controllo sull'inizio dell'URL in cui si verifica il reindirizzamento.
È cruciale comprendere che l'esecuzione di codice arbitrario, come **`javascript:alert(1)`**, è possibile se si ha il controllo sull'inizio dell'URL in cui si verifica il reindirizzamento.
Sink:
Sinks:
```javascript
location
location.host
@ -116,9 +117,9 @@ $.ajax()
Da: [https://portswigger.net/web-security/dom-based/cookie-manipulation](https://portswigger.net/web-security/dom-based/cookie-manipulation)
Le vulnerabilità di manipolazione dei cookie basate su DOM si verificano quando uno script incorpora dati, che possono essere controllati da un attaccante, nel valore di un cookie. Questa vulnerabilità può portare a comportamenti imprevisti della pagina web se il cookie viene utilizzato all'interno del sito. Inoltre, può essere sfruttata per effettuare un attacco di fissazione della sessione se il cookie è coinvolto nel tracciamento delle sessioni degli utenti. Il principale punto di ingresso associato a questa vulnerabilità è:
Le vulnerabilità di manipolazione dei cookie basate su DOM si verificano quando uno script incorpora dati, che possono essere controllati da un attaccante, nel valore di un cookie. Questa vulnerabilità può portare a comportamenti inaspettati della pagina web se il cookie viene utilizzato all'interno del sito. Inoltre, può essere sfruttata per effettuare un attacco di fissazione della sessione se il cookie è coinvolto nel tracciamento delle sessioni utente. Il sink principale associato a questa vulnerabilità è:
Punti di ingresso:
Sinks:
```javascript
document.cookie
```
@ -145,31 +146,31 @@ crypto.generateCRMFRequest()
Da: [https://portswigger.net/web-security/dom-based/document-domain-manipulation](https://portswigger.net/web-security/dom-based/document-domain-manipulation)
Le vulnerabilità di **manipolazione del dominio del documento** si verificano quando uno script imposta la proprietà `document.domain` utilizzando dati controllabili da un attaccante.
Le vulnerabilità di **manipolazione del dominio del documento** si verificano quando uno script imposta la proprietà `document.domain` utilizzando dati che un attaccante può controllare.
La proprietà `document.domain` svolge un **ruolo chiave** nell'**applicazione** della **politica della stessa origine** da parte dei browser. Quando due pagine provenienti da origini diverse impostano il loro `document.domain` allo **stesso valore**, possono interagire senza restrizioni. Sebbene i browser impongano certi **limiti** ai valori assegnabili a `document.domain`, impedendo l'assegnazione di valori completamente non correlati all'origine effettiva della pagina, esistono eccezioni. Tipicamente, i browser consentono l'uso di **domini figlio** o **genitore**.
La proprietà `document.domain` svolge un **ruolo chiave** nell'**applicazione** della **politica della stessa origine** da parte dei browser. Quando due pagine provenienti da origini diverse impostano il loro `document.domain` allo **stesso valore**, possono interagire senza restrizioni. Anche se i browser impongono certi **limiti** ai valori assegnabili a `document.domain`, impedendo l'assegnazione di valori completamente non correlati all'origine effettiva della pagina, esistono eccezioni. Tipicamente, i browser permettono l'uso di **domini figlio** o **genitore**.
Sinks:
Sorgenti:
```javascript
document.domain
```
### WebSocket-URL poisoning
### Avvelenamento dell'URL WebSocket
Da: [https://portswigger.net/web-security/dom-based/websocket-url-poisoning](https://portswigger.net/web-security/dom-based/websocket-url-poisoning)
**WebSocket-URL poisoning** si verifica quando uno script utilizza **dati controllabili come URL di destinazione** per una connessione WebSocket.
**L'avvelenamento dell'URL WebSocket** si verifica quando uno script utilizza **dati controllabili come URL di destinazione** per una connessione WebSocket.
Sinks:
Sorgenti:
Il costruttore `WebSocket` può portare a vulnerabilità di WebSocket-URL poisoning.
Il costruttore `WebSocket` può portare a vulnerabilità di avvelenamento dell'URL WebSocket.
### Manipolazione dei link
### Manipolazione del link
Da: [https://portswigger.net/web-security/dom-based/link-manipulation](https://portswigger.net/web-security/dom-based/link-manipulation)
Le **vulnerabilità di manipolazione dei link basate su DOM** si verificano quando uno script scrive **dati controllabili dall'attaccante su un target di navigazione** all'interno della pagina corrente, come un link cliccabile o l'URL di invio di un modulo.
Le **vulnerabilità di manipolazione del link basate sul DOM** sorgono quando uno script scrive **dati controllati dall'attaccante su un obiettivo di navigazione** all'interno della pagina corrente, come un link cliccabile o l'URL di invio di un modulo.
Sinks:
Sorgenti:
```javascript
someDOMElement.href
someDOMElement.src
@ -179,7 +180,7 @@ someDOMElement.action
Da: [https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation](https://portswigger.net/web-security/dom-based/ajax-request-header-manipulation)
Le vulnerabilità di manipolazione delle richieste Ajax si verificano quando uno script scrive dati controllabili dall'attaccante in una richiesta Ajax che viene emessa utilizzando un oggetto `XmlHttpRequest`.
Le vulnerabilità di manipolazione delle richieste Ajax sorgono quando uno script scrive dati controllabili dall'attaccante in una richiesta Ajax emessa utilizzando un oggetto `XmlHttpRequest`.
Sinks:
```javascript
@ -193,9 +194,9 @@ $.globalEval()
Da: [https://portswigger.net/web-security/dom-based/local-file-path-manipulation](https://portswigger.net/web-security/dom-based/local-file-path-manipulation)
Le vulnerabilità di manipolazione del percorso del file locale si verificano quando uno script passa dati controllabili dall'attaccante a un'API di gestione dei file come parametro `filename`. Questa vulnerabilità può essere sfruttata da un attaccante per costruire un URL che, se visitato da un altro utente, potrebbe portare al browser dell'utente all'apertura o alla scrittura di un file locale arbitrario.
Le **vulnerabilità di manipolazione del percorso del file locale** sorgono quando uno script passa **dati controllabili dall'attaccante a un'API di gestione file** come parametro `filename`. Questa vulnerabilità può essere sfruttata da un attaccante per costruire un URL che, se visitato da un altro utente, potrebbe portare il **browser dell'utente ad aprire o scrivere un file locale arbitrario**.
Sinks:
Sorgenti:
```javascript
FileReader.readAsArrayBuffer()
FileReader.readAsBinaryString()
@ -205,23 +206,23 @@ FileReader.readAsFile()
FileReader.root.getFile()
FileReader.root.getFile()
```
### Iniezione di SQL lato client
### Iniezione SQL lato client
Da: [https://portswigger.net/web-security/dom-based/client-side-sql-injection](https://portswigger.net/web-security/dom-based/client-side-sql-injection)
Le vulnerabilità di **iniezione di SQL lato client** si verificano quando uno script incorpora dati controllabili dall'attaccante in una query di SQL lato client in modo non sicuro.
Le **vulnerabilità di iniezione SQL lato client** si verificano quando uno script incorpora **dati controllabili dall'attaccante in una query SQL lato client in modo non sicuro**.
Sink:
Sinks:
```javascript
executeSql()
```
### Manipolazione dell'HTML5-storage
### Manipolazione dell'archiviazione HTML5
Da: [https://portswigger.net/web-security/dom-based/html5-storage-manipulation](https://portswigger.net/web-security/dom-based/html5-storage-manipulation)
Le vulnerabilità di manipolazione dell'HTML5-storage si verificano quando uno script **memorizza dati controllabili dall'attaccante nell'HTML5 storage** del browser web (`localStorage` o `sessionStorage`). Sebbene questa azione non sia intrinsecamente una vulnerabilità di sicurezza, diventa problematica se l'applicazione successivamente **legge i dati memorizzati e li elabora in modo non sicuro**. Ciò potrebbe consentire a un attaccante di sfruttare il meccanismo di memorizzazione per condurre altri attacchi basati sul DOM, come cross-site scripting e injection di JavaScript.
Le vulnerabilità della manipolazione dell'archiviazione HTML5 sorgono quando uno script memorizza dati controllabili dall'attaccante nell'archiviazione HTML5 del browser web (`localStorage` o `sessionStorage`). Sebbene questa azione non costituisca intrinsecamente una vulnerabilità di sicurezza, diventa problematica se l'applicazione successivamente legge i dati memorizzati e li elabora in modo non sicuro. Ciò potrebbe consentire a un attaccante di sfruttare il meccanismo di archiviazione per condurre altri attacchi basati sul DOM, come cross-site scripting e iniezione di JavaScript.
Sinks:
Sorgenti:
```javascript
sessionStorage.setItem()
localStorage.setItem()
@ -230,9 +231,9 @@ localStorage.setItem()
Da: [https://portswigger.net/web-security/dom-based/client-side-xpath-injection](https://portswigger.net/web-security/dom-based/client-side-xpath-injection)
Le vulnerabilità di **iniezione di XPath basate sul DOM** si verificano quando uno script incorpora **dati controllabili dall'attaccante in una query XPath**.
Le vulnerabilità di **iniezione di XPath basate su DOM** si verificano quando uno script incorpora **dati controllabili dall'attaccante in una query XPath**.
Sink:
Sorgenti:
```javascript
document.evaluate()
someDOMElement.evaluate()
@ -243,29 +244,27 @@ Da: [https://portswigger.net/web-security/dom-based/client-side-json-injection](
Le vulnerabilità di **iniezione di JSON basate su DOM** si verificano quando uno script incorpora **dati controllabili dall'attaccante in una stringa che viene analizzata come una struttura dati JSON e poi elaborata dall'applicazione**.
Sink:
Sorgenti:
```javascript
JSON.parse()
jQuery.parseJSON()
$.parseJSON()
```
### Manipolazione dei messaggi web
### Manipolazione dei messaggi Web
Da: [https://portswigger.net/web-security/dom-based/web-message-manipulation](https://portswigger.net/web-security/dom-based/web-message-manipulation)
Le vulnerabilità dei **messaggi web** si verificano quando uno script invia dati controllabili dall'attaccante come messaggio web a un altro documento all'interno del browser. Un **esempio** di manipolazione vulnerabile dei messaggi web può essere trovato presso l'Accademia di Sicurezza Web di PortSwigger.
Le vulnerabilità dei **messaggi Web** sorgono quando uno script invia **dati controllabili dall'attaccante come messaggio Web a un altro documento** all'interno del browser. Un **esempio** di manipolazione vulnerabile dei messaggi Web può essere trovato all' [Accademia di Sicurezza Web di PortSwigger](https://portswigger.net/web-security/dom-based/controlling-the-web-message-source).
Sink:
Il metodo `postMessage()` per l'invio di messaggi web può portare a vulnerabilità se l'ascoltatore degli eventi per la ricezione dei messaggi gestisce i dati in ingresso in modo non sicuro.
Il metodo `postMessage()` per l'invio di messaggi Web può portare a vulnerabilità se l'ascoltatore degli eventi per la ricezione dei messaggi gestisce i dati in ingresso in modo non sicuro.
### Manipolazione dei dati DOM
Da: [https://portswigger.net/web-security/dom-based/dom-data-manipulation](https://portswigger.net/web-security/dom-based/dom-data-manipulation)
Le vulnerabilità della **manipolazione dei dati DOM** si verificano quando uno script scrive dati controllabili dall'attaccante in un campo all'interno del DOM che viene utilizzato nell'interfaccia utente visibile o nella logica lato client. Questa vulnerabilità può essere sfruttata da un attaccante per costruire un URL che, se visitato da un altro utente, può alterare l'aspetto o il comportamento dell'interfaccia utente lato client.
Sink:
Le vulnerabilità della **manipolazione dei dati DOM** sorgono quando uno script scrive **dati controllabili dall'attaccante in un campo all'interno del DOM** che viene utilizzato nell'interfaccia utente visibile o nella logica lato client. Questa vulnerabilità può essere sfruttata da un attaccante per costruire un URL che, se visitato da un altro utente, può alterare l'aspetto o il comportamento dell'interfaccia utente lato client.
```javascript
scriptElement.src
scriptElement.text
@ -294,23 +293,27 @@ history.replaceState()
Da: [https://portswigger.net/web-security/dom-based/denial-of-service](https://portswigger.net/web-security/dom-based/denial-of-service)
Le vulnerabilità di **denial-of-service basate su DOM** si verificano quando uno script passa dati controllabili dall'attaccante in modo non sicuro a una API problematica. Ciò include API che, quando invocate, possono portare il computer dell'utente a consumare quantità eccessive di CPU o spazio su disco. Tali vulnerabilità possono avere effetti collaterali significativi, come il browser che limita la funzionalità del sito web rifiutando i tentativi di archiviare dati in `localStorage` o terminando script occupati.
Le vulnerabilità di **denial-of-service basate su DOM** si verificano quando uno script passa **dati controllabili dall'attaccante in modo non sicuro a un'API di piattaforma problematica**. Ciò include API che, quando invocate, possono portare il computer dell'utente a consumare **quantità eccessive di CPU o spazio su disco**. Tali vulnerabilità possono avere effetti collaterali significativi, come il browser che limita la funzionalità del sito web rifiutando i tentativi di memorizzare dati in `localStorage` o terminando script occupati.
Sinks:
Sorgenti:
```javascript
requestFileSystem()
RegExp()
```
## Dom Clobbering
{% content-ref url="dom-clobbering.md" %}
[dom-clobbering.md](dom-clobbering.md)
{% endcontent-ref %}
<details>
<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
<summary><strong>Impara l'hacking AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Esperto Red Team AWS di HackTricks)</strong></a><strong>!</strong></summary>
* Lavori in una **azienda di sicurezza informatica**? Vuoi vedere la tua **azienda pubblicizzata in HackTricks**? O vuoi avere accesso all'**ultima versione di PEASS o scaricare HackTricks in PDF**? Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* Lavori in una **azienda di sicurezza informatica**? Vuoi vedere la **tua azienda pubblicizzata in HackTricks**? o vuoi avere accesso all'**ultima versione del PEASS o scaricare HackTricks in PDF**? Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Scopri [**La Famiglia PEASS**](https://opensea.io/collection/the-peass-family), la nostra collezione di [**NFT esclusivi**](https://opensea.io/collection/the-peass-family)
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* **Unisciti al** [**💬**](https://emojipedia.org/speech-balloon/) [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo Telegram**](https://t.me/peass) o **seguimi** su **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Unisciti al** [**💬**](https://emojipedia.org/speech-balloon/) [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguimi** su **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR al** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **e al** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>