From e54511f354d21c4aecfab704b1378931a542cdf2 Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 16 Oct 2024 10:30:01 +0000 Subject: [PATCH] Translated ['pentesting-web/login-bypass/README.md'] to af --- pentesting-web/login-bypass/README.md | 19 ++++++++++--------- 1 file changed, 10 insertions(+), 9 deletions(-) diff --git a/pentesting-web/login-bypass/README.md b/pentesting-web/login-bypass/README.md index 058ad3e2e..c9d2e987d 100644 --- a/pentesting-web/login-bypass/README.md +++ b/pentesting-web/login-bypass/README.md @@ -10,7 +10,7 @@ Leer & oefen GCP Hacking: {% endhint %} @@ -27,14 +27,14 @@ As jy 'n aanmeldbladsy vind, kan jy hier 'n paar tegnieke vind om te probeer om * Kyk vir **kommentaar** binne die bladsy (scroll af en na regs?) * Kyk of jy **direk toegang tot die beperkte bladsye** kan kry -* Kyk om **nie die parameters te stuur nie** (stuur geen of net 1) +* Kyk om **nie die parameters te stuur** nie (stuur geen of net 1) * Kyk na die **PHP vergelykingsfout:** `user[]=a&pwd=b` , `user=a&pwd[]=b` , `user[]=a&pwd[]=b` * **Verander inhoud tipe na json** en stuur json waardes (bool true ingesluit) * As jy 'n antwoord kry wat sê dat POST nie ondersteun word nie, kan jy probeer om die **JSON in die liggaam te stuur maar met 'n GET versoek** met `Content-Type: application/json` * Kyk na nodejs se potensiële ontledingsfout (lees [**hierdie**](https://flattsecurity.medium.com/finding-an-unseen-sql-injection-by-bypassing-escape-functions-in-mysqljs-mysql-90b27f6542b4)): `password[password]=1` -* Nodejs sal daardie payload omskep na 'n navraag soortgelyk aan die volgende: ` SELECT id, username, left(password, 8) AS snipped_password, email FROM accounts WHERE username='admin' AND`` `` `**`password=password=1`**`;` wat die wagwoordbit altyd waar maak. +* Nodejs sal daardie payload omskep na 'n navraag soortgelyk aan die volgende: ` SELECT id, username, left(password, 8) AS snipped_password, email FROM accounts WHERE username='admin' AND`` `` `**`password=password=1`**`;` wat maak dat die wagwoord altyd waar is. * As jy 'n JSON objek kan stuur, kan jy `"password":{"password": 1}` stuur om die aanmelding te omseil. -* Onthou dat om hierdie aanmelding te omseil, jy steeds moet **weet en 'n geldige gebruikersnaam stuur**. +* Onthou dat jy om hierdie aanmelding te omseil steeds moet **weet en 'n geldige gebruikersnaam stuur**. * **Voeg `"stringifyObjects":true`** opsie by wanneer jy `mysql.createConnection` aanroep, sal uiteindelik **alle onverwagte gedrag blokkeer wanneer `Object` in die parameter gestuur word**. * Kyk na geloofsbriewe: * [**Standaard geloofsbriewe**](../../generic-methodologies-and-resources/brute-force.md#default-credentials) van die tegnologie/platform wat gebruik word @@ -46,7 +46,7 @@ As jy 'n aanmeldbladsy vind, kan jy hier 'n paar tegnieke vind om te probeer om [Hier kan jy verskeie truuks vind om die aanmelding via **SQL injections** te omseil](../sql-injection/#authentication-bypass). -Op die volgende bladsy kan jy 'n **aangepaste lys vind om te probeer om aanmelding** via SQL Injections te omseil: +Op die volgende bladsy kan jy 'n **aangepaste lys vind om te probeer om aanmelding te omseil** via SQL Injections: {% content-ref url="sql-login-bypass.md" %} [sql-login-bypass.md](sql-login-bypass.md) @@ -60,7 +60,7 @@ Aangesien die NoSQL Injections vereis dat die parameters waarde verander, sal jy ### XPath Injection aanmeld omseiling -[Hier kan jy verskeie truuks vind om die aanmelding via **XPath Injection.**](../xpath-injection.md#authentication-bypass) +[Hier kan jy verskeie truuks vind om die aanmelding via **XPath Injection.** te omseil](../xpath-injection.md#authentication-bypass) ``` ' or '1'='1 ' or ''=' @@ -103,9 +103,10 @@ Bladsye lei gewoonlik gebruikers na aanmelding, kyk of jy daardie oorgang kan ve ## Ander Kontroles * Kyk of jy **gebruikernames kan opnoem** deur die aanmeldfunksionaliteit te misbruik. -* Kyk of **outo-voltooi** aktief is in die wagwoord/**sensitiewe** inligting **vorms** **invoer:** `` +## Outomatiese Gereedskap +* [HTLogin](https://github.com/akinerkisa/HTLogin)
@@ -123,7 +124,7 @@ Leer & oefen GCP Hacking: {% endhint %}