Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-12 14:22:56 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/web-vulnerabilities-methodology/README.md
Translator workflow af42105553 Translated to French
2023-06-03 13:10:46 +00:00

52 lines
4.2 KiB
Markdown
Raw Blame History

# Méthodologie des vulnérabilités Web
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
Dans chaque test de pénétration Web, il y a **plusieurs endroits évidents et cachés qui pourraient être vulnérables**. Ce post est destiné à être une liste de contrôle pour confirmer que vous avez cherché des vulnérabilités dans tous les endroits possibles.
## Proxies
{% hint style="info" %}
De nos jours, les **applications Web** utilisent généralement des **proxys intermédiaires**, qui peuvent être (abusés) pour exploiter des vulnérabilités. Ces vulnérabilités nécessitent qu'un proxy vulnérable soit en place, mais elles nécessitent généralement également une vulnérabilité supplémentaire dans le backend.
{% endhint %}
* [ ] [**Abus des en-têtes hop-by-hop**](../abusing-hop-by-hop-headers.md)
* [ ] [**Empoisonnement de cache / Tromperie de cache**](../cache-deception.md)
* [ ] [**Smuggling de requêtes HTTP**](../http-request-smuggling/)
* [ ] [**Smuggling H2C**](../h2c-smuggling.md)
* [ ] [**Inclusion côté serveur / Inclusion côté bord**](../server-side-inclusion-edge-side-inclusion-injection.md)
* [ ] [**Découverte de Cloudflare**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md)
* [ ] [**Injection côté serveur XSLT**](../xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md)
## **Entrée utilisateur**
{% hint style="info" %}
La plupart des applications Web permettront aux utilisateurs de saisir des données qui seront traitées plus tard.\
Selon la structure des données que le serveur attend, certaines vulnérabilités peuvent ou non s'appliquer.
{% endhint %}
### **Valeurs réfléchies**
Si les données introduites peuvent être d'une certaine manière reflétées dans la réponse, la page pourrait être vulnérable à plusieurs problèmes.
* [ ] [**Injection de modèle côté client**](../client-side-template-injection-csti.md)
* [ ] [**Injection de commande**](../command-injection.md)
* [ ] [**CRLF**](../crlf-0d-0a.md)
* [ ] [**Balises suspendues**](../dangling-markup-html-scriptless-injection.md)
* [ ] [**Inclusion de fichier / Traversal de chemin**](../file-inclusion/)
* [ ] [**Redirection ouverte**](../open-redirect.md)
* [ ] [**Pollution de prototype pour XSS**](../deserialization/nodejs-proto-prototype-pollution/#client-side-prototype-pollution-to-xss)
* [ ] [**Injection côté serveur / Inclusion côté bord**](../server-side-inclusion-edge-side-inclusion-injection.md)
* [ ] [**Forgery de requête côté serveur**](../ssrf-server-side-request-forgery/)
* [ ] [**Injection de modèle côté serveur**](../ssti-server-side-template-injection/)
* [ ] [**Tab
Reference in a new issue View git blame Copy permalink