hacktricks/pentesting-web/web-vulnerabilities-methodology/README.md
2024-02-11 02:13:58 +00:00

8 KiB

Njia za Kupenya Kwenye Tovuti

Jifunze kuhusu kupenya kwenye AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Katika kila Pentest ya Tovuti, kuna maeneo mengi yaliyofichwa na wazi ambayo yanaweza kuwa na udhaifu. Chapisho hili linakusudiwa kuwa orodha ya kuhakikisha kuwa umetafuta udhaifu katika maeneo yote yanayowezekana.

Proxies

{% hint style="info" %} Leo hii programu za wavuti kawaida hutumia aina fulani ya proxies za kati, hizo zinaweza (kutumika) kutumika vibaya kwa kufaidika na udhaifu. Udhaifu huu unahitaji kuwepo kwa proxi dhaifu, lakini kwa kawaida pia unahitaji udhaifu wa ziada kwenye seva ya nyuma. {% endhint %}

Ingizo la Mtumiaji

{% hint style="info" %} Programu nyingi za wavuti zitaruhusu watumiaji kuweka data ambayo itashughulikiwa baadaye.
Kulingana na muundo wa data ambao seva inatarajia, baadhi ya udhaifu unaweza kuwa na athari au la. {% endhint %}

Thamani Zilizorejelewa

Ikiwa data iliyoingizwa inaweza kwa njia fulani kuonekana katika majibu, ukurasa unaweza kuwa na udhaifu kwa masuala kadhaa.

Baadhi ya udhaifu uliotajwa unahitaji hali maalum, wengine tu wanahitaji yaliyomo kuonekana. Unaweza kupata polygloths ya kuvutia ya kujaribu haraka udhaifu katika:

{% content-ref url="../pocs-and-polygloths-cheatsheet/" %} pocs-and-polygloths-cheatsheet {% endcontent-ref %}

Vipengele vya Utafutaji

Ikiwa kazi inaweza kutumika kutafuta aina fulani ya data kwenye seva ya nyuma, labda unaweza (kutumia) (kutumia vibaya) kuitafuta data isiyo ya kawaida.

Fomu, WebSockets na PostMsgs

Wakati soketi ya wavuti inapostisha ujumbe au fomu inaruhusu watumiaji kutekeleza hatua, udhaifu unaweza kutokea.

Vitu vilivyopangwa / Utendaji maalum

Baadhi ya utendaji utahitaji data kuwa na muundo maalum (kama kitu kilichopangwa kwa lugha au XML). Hivyo, ni rahisi kutambua ikiwa programu inaweza kuwa na udhaifu kwa sababu inahitaji kusindika aina hiyo ya data.
Baadhi ya utendaji maalum unaweza kuwa na udhaifu ikiwa muundo maalum wa kuingiza unatumika (kama Uingizaji wa Kichwa cha Barua).

Faili

Utendaji unaoruhusu kupakia faili unaweza kuwa na udhaifu kwa masuala kadhaa.
Utendaji unaotengeneza faili kwa kutumia kuingiza kwa mtumiaji unaweza kutekeleza nambari isiyotarajiwa.
Watumiaji wanaofungua faili zilizopakiwa na watumiaji au zilizotengenezwa kiotomatiki zikiwa na kuingiza kwa mtumiaji wanaweza kuwa hatarini.

Usimamizi wa Kitambulisho wa Nje

Udhaifu Mwingine Wenye Manufaa

Udhaifu huu unaweza kusaidia kufaidika na udhaifu mwingine.

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks: