hacktricks/network-services-pentesting/pentesting-web/gwt-google-web-toolkit.md
2024-02-10 13:11:20 +00:00

2.3 KiB

GWT - Google Web Toolkit

GWT (Google Web Toolkit) je open-source framework koji omogućava razvoj i optimizaciju web aplikacija pomoću Java programskog jezika. GWT kompajlira Java kod u efikasan JavaScript kod koji se može izvršavati na različitim web pregledačima.

Arhitektura GWT-a

GWT se sastoji od tri glavna dela:

  1. Klijentska strana: Ovde se nalazi Java kod koji se kompajlira u JavaScript i izvršava se na klijentskom uređaju. Ova strana je odgovorna za interakciju sa korisnikom i prikazivanje grafičkog korisničkog interfejsa.

  2. Server strana: Ovde se nalazi Java kod koji se izvršava na serveru. Ova strana je odgovorna za obradu zahteva korisnika, pristup bazi podataka i poslovnu logiku aplikacije.

  3. Komunikacija: GWT koristi RPC (Remote Procedure Call) mehanizam za komunikaciju između klijentske i serverske strane. RPC omogućava pozivanje metoda na serverskoj strani iz klijentske strane i prenos podataka između njih.

GWT Pentesting Tehnike

Prilikom pentestinga GWT aplikacija, neke od ključnih tehnika koje se mogu koristiti su:

  1. Reverse Engineering: Analiziranje JavaScript koda generisanog od strane GWT-a kako bi se razumela logika aplikacije i identifikovali potencijalni bezbednosni propusti.

  2. Brute Forcing: Pokušaj pronalaženja slabih lozinki ili otkrivanje osetljivih direktorijuma na serveru.

  3. XSS (Cross-Site Scripting): Injektiranje zlonamernog koda u GWT aplikaciju kako bi se izvršio na klijentskom uređaju korisnika.

  4. CSRF (Cross-Site Request Forgery): Iskorišćavanje nedostataka u implementaciji CSRF za napad na GWT aplikaciju.

  5. SQL Injection: Pokušaj ubacivanja zlonamernih SQL upita kako bi se pristupilo ili modifikovalo bazu podataka.

  6. File Inclusion: Iskorišćavanje slabosti u uključivanju datoteka kako bi se pristupilo osetljivim informacijama ili izvršio zlonamerni kod.

  7. Session Hijacking: Napad na sesiju korisnika kako bi se preuzela kontrola nad njenim nalogom.

  8. Server-Side Request Forgery (SSRF): Iskorišćavanje GWT funkcionalnosti za izvršavanje neovlašćenih zahteva na drugim serverima.

Ove tehnike mogu biti korisne prilikom pentestinga GWT aplikacija kako bi se identifikovali bezbednosni propusti i preporučile odgovarajuće mere zaštite.