From 14f0720d9b7669558407429eec73249d11e361f4 Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 3 Apr 2025 13:58:25 +0000 Subject: [PATCH] Translated ['src/pentesting-web/account-takeover.md'] to pl --- src/pentesting-web/account-takeover.md | 20 ++++++++++---------- 1 file changed, 10 insertions(+), 10 deletions(-) diff --git a/src/pentesting-web/account-takeover.md b/src/pentesting-web/account-takeover.md index 098ec909a..6c3d036b7 100644 --- a/src/pentesting-web/account-takeover.md +++ b/src/pentesting-web/account-takeover.md @@ -37,7 +37,7 @@ Jeśli system docelowy pozwala na **ponowne wykorzystanie linku resetującego**, ## **Błąd Konfiguracji CORS do Przejęcia Konta** -Jeśli strona zawiera **błędy konfiguracji CORS**, możesz być w stanie **ukraść wrażliwe informacje** od użytkownika, aby **przejąć jego konto** lub zmusić go do zmiany informacji uwierzytelniających w tym samym celu: +Jeśli strona zawiera **błędy konfiguracji CORS**, możesz być w stanie **ukraść wrażliwe informacje** od użytkownika, aby **przejąć jego konto** lub zmusić go do zmiany informacji uwierzytelniających w tym celu: {{#ref}} cors-bypass.md @@ -45,7 +45,7 @@ cors-bypass.md ## **CSRF do Przejęcia Konta** -Jeśli strona jest podatna na CSRF, możesz być w stanie sprawić, że **użytkownik zmodyfikuje swoje hasło**, e-mail lub uwierzytelnienie, abyś mógł uzyskać do niego dostęp: +Jeśli strona jest podatna na CSRF, możesz być w stanie zmusić **użytkownika do zmodyfikowania swojego hasła**, e-maila lub uwierzytelnienia, abyś mógł uzyskać do niego dostęp: {{#ref}} csrf-cross-site-request-forgery.md @@ -88,7 +88,7 @@ oauth-to-account-takeover.md 1. Nagłówek Host jest modyfikowany po zainicjowaniu żądania resetowania hasła. 2. Nagłówek proxy `X-Forwarded-For` jest zmieniany na `attacker.com`. 3. Nagłówki Host, Referrer i Origin są jednocześnie zmieniane na `attacker.com`. -4. Po zainicjowaniu resetu hasła i wybraniu opcji ponownego wysłania maila, stosuje się wszystkie trzy powyższe metody. +4. Po zainicjowaniu resetowania hasła i wybraniu opcji ponownego wysłania maila, stosowane są wszystkie trzy powyższe metody. ## Manipulacja Odpowiedzią @@ -103,17 +103,17 @@ Te techniki manipulacji są skuteczne w scenariuszach, w których JSON jest wyko Z [tego raportu](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea): -- Napastnik prosi o zmianę swojego e-maila na nowy -- Napastnik otrzymuje link do potwierdzenia zmiany e-maila -- Napastnik wysyła ofierze link, aby kliknęła -- E-mail ofiary zostaje zmieniony na ten wskazany przez napastnika -- Napastnik może odzyskać hasło i przejąć konto +- Napastnik prosi o zmianę swojego e-maila na nowy. +- Napastnik otrzymuje link do potwierdzenia zmiany e-maila. +- Napastnik wysyła ofierze link, aby kliknęła w niego. +- E-mail ofiary zostaje zmieniony na ten wskazany przez napastnika. +- Napastnik może odzyskać hasło i przejąć konto. To również miało miejsce w [**tym raporcie**](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea). ### Ominięcie weryfikacji e-maila w celu przejęcia konta - Napastnik loguje się jako attacker@test.com i weryfikuje e-mail podczas rejestracji. -- Napastnik zmienia zweryfikowany e-mail na victim@test.com (brak dodatkowej weryfikacji przy zmianie e-maila) +- Napastnik zmienia zweryfikowany e-mail na victim@test.com (brak dodatkowej weryfikacji przy zmianie e-maila). - Teraz strona pozwala victim@test.com na logowanie, a my ominięliśmy weryfikację e-maila użytkownika ofiary. ### Stare Ciasteczka @@ -121,7 +121,7 @@ To również miało miejsce w [**tym raporcie**](https://dynnyd20.medium.com/one Jak wyjaśniono [**w tym poście**](https://medium.com/@niraj1mahajan/uncovering-the-hidden-vulnerability-how-i-found-an-authentication-bypass-on-shopifys-exchange-cc2729ea31a9), możliwe było zalogowanie się na konto, zapisanie ciasteczek jako uwierzytelniony użytkownik, wylogowanie się, a następnie ponowne zalogowanie.\ Przy nowym logowaniu, chociaż mogą być generowane różne ciasteczka, stare zaczęły działać ponownie. -## Odniesienia +## Referencje - [https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050](https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050) - [https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)