# Клієнтський шляховий траверс

<details>

<summary><strong>Вивчайте хакінг AWS від нуля до героя з</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Інші способи підтримки HackTricks:

* Якщо ви хочете побачити **рекламу вашої компанії в HackTricks** або **завантажити HackTricks у форматі PDF**, перевірте [**ПЛАНИ ПІДПИСКИ**](https://github.com/sponsors/carlospolop)!
* Отримайте [**офіційний PEASS & HackTricks мерч**](https://peass.creator-spring.com)
* Відкрийте для себе [**Сім'ю PEASS**](https://opensea.io/collection/the-peass-family), нашу колекцію ексклюзивних [**NFT**](https://opensea.io/collection/the-peass-family)
* **Приєднуйтесь до** 💬 [**групи Discord**](https://discord.gg/hRep4RUj7f) або [**групи telegram**](https://t.me/peass) або **слідкуйте** за нами на **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Поділіться своїми хакерськими трюками, надсилайте PR до** [**HackTricks**](https://github.com/carlospolop/hacktricks) та [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) репозиторіїв.

</details>

## Основна інформація

Клієнтський шляховий траверс відбувається, коли ви можете **маніпулювати шляхом URL-адреси**, яка буде **відправлена користувачеві для відвідування легітимним способом** або яку користувач якимось чином буде **змушений відвідати, наприклад, через JS або CSS**.

У [**цьому описі**](https://erasec.be/blog/client-side-path-manipulation/), було можливо **змінити URL запрошення**, щоб він завершився **скасуванням картки**.

У [**цьому описі**](https://mr-medi.github.io/research/2022/11/04/practical-client-side-path-traversal-attacks.html), було можливо поєднати **клієнтський шляховий траверс через CSS** (було можливо змінити шлях, звідки завантажувався ресурс CSS) з **відкритим перенаправленням**, щоб завантажити ресурс CSS з **домену, котрим керує зловмисник**.