hacktricks/network-services-pentesting/pentesting-web/jira.md

5.2 KiB

JIRA

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy belangstel in 'n hackerloopbaan en om die onkraakbare te kraak - ons is aan die aanstel! (vloeiende Pools geskrewe en gesproke vereis).

{% embed url="https://www.stmcyber.com/careers" %}

Kontroleer Voorregte

In Jira kan voorregte nagegaan word deur enige gebruiker, geïdentifiseer of nie, deur die eindpunte /rest/api/2/mypermissions of /rest/api/3/mypermissions. Hierdie eindpunte onthul die gebruiker se huidige voorregte. 'n Merkbare bekommernis ontstaan wanneer nie-geïdentifiseerde gebruikers voorregte het, wat 'n sekuriteitskwesbaarheid aandui wat moontlik in aanmerking kan kom vir 'n beloning. Soortgelyk wys onverwagte voorregte vir geïdentifiseerde gebruikers ook 'n kwesbaarheid aan.

'n Belangrike opdatering is op 1 Februarie 2019 gemaak, wat vereis dat die 'mypermissions'-eindpunt 'n 'permission'-parameter moet insluit. Hierdie vereiste is daarop gemik om die sekuriteit te verbeter deur die voorregte wat ondervra word, te spesifiseer: kyk dit hier

  • ADD_COMMENTS
  • ADMINISTER
  • ADMINISTER_PROJECTS
  • ASSIGNABLE_USER
  • ASSIGN_ISSUES
  • BROWSE_PROJECTS
  • BULK_CHANGE
  • CLOSE_ISSUES
  • CREATE_ATTACHMENTS
  • CREATE_ISSUES
  • CREATE_PROJECT
  • CREATE_SHARED_OBJECTS
  • DELETE_ALL_ATTACHMENTS
  • DELETE_ALL_COMMENTS
  • DELETE_ALL_WORKLOGS
  • DELETE_ISSUES
  • DELETE_OWN_ATTACHMENTS
  • DELETE_OWN_COMMENTS
  • DELETE_OWN_WORKLOGS
  • EDIT_ALL_COMMENTS
  • EDIT_ALL_WORKLOGS
  • EDIT_ISSUES
  • EDIT_OWN_COMMENTS
  • EDIT_OWN_WORKLOGS
  • LINK_ISSUES
  • MANAGE_GROUP_FILTER_SUBSCRIPTIONS
  • MANAGE_SPRINTS_PERMISSION
  • MANAGE_WATCHERS
  • MODIFY_REPORTER
  • MOVE_ISSUES
  • RESOLVE_ISSUES
  • SCHEDULE_ISSUES
  • SET_ISSUE_SECURITY
  • SYSTEM_ADMIN
  • TRANSITION_ISSUES
  • USER_PICKER
  • VIEW_AGGREGATED_DATA
  • VIEW_DEV_TOOLS
  • VIEW_READONLY_WORKFLOW
  • VIEW_VOTERS_AND_WATCHERS
  • WORK_ON_ISSUES

Voorbeeld: https://jou-domein.atlassian.net/rest/api/2/mypermissions?permissions=BROWSE_PROJECTS,CREATE_ISSUES,ADMINISTER_PROJECTS

#Check non-authenticated privileges
curl https://jira.some.example.com/rest/api/2/mypermissions | jq | grep -iB6 '"havePermission": true'

Geoutomatiseerde opsomming

As jy belangstel in hacking loopbaan en die onhackbare wil hack - ons is aan die werf! (vloeiende Pools geskrewe en gesproke vereis).

{% embed url="https://www.stmcyber.com/careers" %}

Leer AWS-hacking van niks tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: