Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-web/golang.md
Translator workflow 9f40607d8c Translated to Afrikaans
2024-02-11 02:07:06 +00:00

3.6 KiB
Raw Blame History

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

CONNECT-metode

In die Go-programmeertaal is dit 'n algemene praktyk om HTTP-versoeke te hanteer, spesifiek met behulp van die net/http-biblioteek, om die versoekpad outomaties na 'n gestandaardiseerde formaat om te skakel. Hierdie proses behels:

  • Paaie wat eindig met 'n skuinstrek (/) soos /flag/ word omgelei na hul nie-skuinstrek eweknie, /flag.
  • Paaie wat gidsverspreidingsvolgordes bevat, soos /../flag, word vereenvoudig en omgelei na /flag.
  • Paaie met 'n punt aan die einde, soos /flag/., word ook omgelei na die skoon pad /flag.

Daar is egter 'n uitsondering met die gebruik van die CONNECT-metode. Anders as ander HTTP-metodes, veroorsaak CONNECT nie die padnormaliseringsproses nie. Hierdie gedrag skep 'n potensiële geleentheid om toegang tot beskermde hulpbronne te verkry. Deur die gebruik van die CONNECT-metode saam met die --path-as-is-opsie in curl, kan 'n persoon die standaard padnormalisering omseil en moontlik beperkte areas bereik.

Die volgende opdrag demonstreer hoe om van hierdie gedrag gebruik te maak:

curl --path-as-is -X CONNECT http://gofs.web.jctf.pro/../flag

https://github.com/golang/go/blob/9bb97ea047890e900dae04202a231685492c4b18/src/net/http/server.go#L2354-L2364

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: