hacktricks/pentesting-web/client-side-path-traversal.md
2023-06-03 13:10:46 +00:00

7 lines
919 B
Markdown

## Informations de base
Une traversée de chemin côté client se produit lorsque vous pouvez **manipuler le chemin d'une URL** qui va être **envoyée à un utilisateur pour être visitée de manière légitime** ou qu'un utilisateur est d'une manière ou d'une autre **forcé à visiter par exemple via JS ou CSS**.
Dans [**cette publication**](https://erasec.be/blog/client-side-path-manipulation/), il était possible de **changer l'URL d'invitation** de sorte qu'elle finisse par **annuler une carte**.
Dans [**cette publication**](https://mr-medi.github.io/research/2022/11/04/practical-client-side-path-traversal-attacks.html), il était possible de combiner une **traversée de chemin côté client via CSS** (il était possible de changer le chemin où une ressource CSS était chargée) avec une **redirection ouverte** pour charger la ressource CSS à partir d'un **domaine contrôlé par un attaquant**.