hacktricks/network-services-pentesting/pentesting-web/jira.md

JIRA

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

Indien jy belangstel in 'n hackerloopbaan en die onkraakbare wil kraak - ons is aan die aanstel! (vloeiende Pools geskrewe en gesproke vereis).

{% embed url="https://www.stmcyber.com/careers" %}

Kontroleer Voorregte

In Jira kan voorregte nagegaan word deur enige gebruiker, geïdentifiseer of nie, deur die eindpunte /rest/api/2/mypermissions of /rest/api/3/mypermissions. Hierdie eindpunte onthul die gebruiker se huidige voorregte. 'n Merkbare bekommernis ontstaan wanneer nie-geïdentifiseerde gebruikers voorregte het, wat 'n sekuriteitskwesbaarheid aandui wat moontlik in aanmerking kom vir 'n beloning. Soortgelyk wys onverwagte voorregte vir geïdentifiseerde gebruikers ook 'n kwesbaarheid aan.

'n Belangrike opdatering is op 1 Februarie 2019 gemaak, wat vereis dat die 'mypermissions'-eindpunt 'n 'permission'-parameter moet insluit. Hierdie vereiste is daarop gemik om die sekuriteit te verbeter deur die voorregte wat ondervra word, te spesifiseer: kyk dit hier

• ADD_COMMENTS
• ADMINISTER
• ADMINISTER_PROJECTS
• ASSIGNABLE_USER
• ASSIGN_ISSUES
• BROWSE_PROJECTS
• BULK_CHANGE
• CLOSE_ISSUES
• CREATE_ATTACHMENTS
• CREATE_ISSUES
• CREATE_PROJECT
• CREATE_SHARED_OBJECTS
• DELETE_ALL_ATTACHMENTS
• DELETE_ALL_COMMENTS
• DELETE_ALL_WORKLOGS
• DELETE_ISSUES
• DELETE_OWN_ATTACHMENTS
• DELETE_OWN_COMMENTS
• DELETE_OWN_WORKLOGS
• EDIT_ALL_COMMENTS
• EDIT_ALL_WORKLOGS
• EDIT_ISSUES
• EDIT_OWN_COMMENTS
• EDIT_OWN_WORKLOGS
• LINK_ISSUES
• MANAGE_GROUP_FILTER_SUBSCRIPTIONS
• MANAGE_SPRINTS_PERMISSION
• MANAGE_WATCHERS
• MODIFY_REPORTER
• MOVE_ISSUES
• RESOLVE_ISSUES
• SCHEDULE_ISSUES
• SET_ISSUE_SECURITY
• SYSTEM_ADMIN
• TRANSITION_ISSUES
• USER_PICKER
• VIEW_AGGREGATED_DATA
• VIEW_DEV_TOOLS
• VIEW_READONLY_WORKFLOW
• VIEW_VOTERS_AND_WATCHERS
• WORK_ON_ISSUES

Voorbeeld: https://jou-domein.atlassian.net/rest/api/2/mypermissions?permissions=BROWSE_PROJECTS,CREATE_ISSUES,ADMINISTER_PROJECTS

#Check non-authenticated privileges
curl https://jira.some.example.com/rest/api/2/mypermissions | jq | grep -iB6 '"havePermission": true'

Geoutomatiseerde opsomming

• https://github.com/0x48piraj/Jiraffe
• https://github.com/bcoles/jira_scan

Indien jy belangstel in hacking loopbaan en die onkraakbare wil kraak - ons is aan die werf! (vloeiende Pools geskrewe en gesproke benodig).

{% embed url="https://www.stmcyber.com/careers" %}

Leer AWS-hacking van niks tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

• As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
• Kry die amptelike PEASS & HackTricks swag
• Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
• Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
• Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.