maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/web-vulnerabilities-methodology.md'] to

Browse Source
This commit is contained in:
Translator 2025-07-23 02:48:39 +00:00
parent 3695c588e1
commit 65a7f3bdcf
1 changed files with 11 additions and 9 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

20
src/pentesting-web/web-vulnerabilities-methodology.md
View File

@ -6,8 +6,8 @@ Her Web Pentest'te, **gizli ve belirgin birçok yerin savunmasız olabileceği**
## Proxies
> [!NOTE]
> Günümüzde **web** **uygulamaları** genellikle bazı tür **aracı** **proxy'ler** kullanmaktadır, bunlar zafiyetleri istismar etmek için (kötüye) kullanılabilir. Bu zafiyetlerin var olması için bir savunmasız proxy'nin mevcut olması gerekir, ancak genellikle arka uçta da ek bir zafiyet gerektirir.
> [!TIP]
> Günümüzde **web** **uygulamaları** genellikle bazı tür **aracı** **proxy'ler** kullanır, bunlar zafiyetleri istismar etmek için (kötüye) kullanılabilir. Bu zafiyetlerin var olması için bir savunmasız proxy'nin bulunması gerekir, ancak genellikle arka uçta da ek bir zafiyet gerektirir.
- [ ] [**Abusing hop-by-hop headers**](abusing-hop-by-hop-headers.md)
- [ ] [**Cache Poisoning/Cache Deception**](cache-deception/index.html)
@ -20,13 +20,13 @@ Her Web Pentest'te, **gizli ve belirgin birçok yerin savunmasız olabileceği**
## **Kullanıcı girişi**
> [!NOTE]
> [!TIP]
> Çoğu web uygulaması, **kullanıcıların daha sonra işlenecek bazı verileri girmesine izin verir.**\
> Sunucunun beklediği veri yapısına bağlı olarak bazı zafiyetler uygulanabilir veya uygulanmayabilir.
> Verilerin yapısına bağlı olarak, sunucunun beklediği bazı zafiyetler uygulanabilir veya uygulanmayabilir.
### **Yansıtılan Değerler**
Eğer girilen veriler bir şekilde yanıtta yansıtılabiliyorsa, sayfa çeşitli sorunlara karşı savunmasız olabilir.
Eğer girilen veriler bir şekilde yanıt içinde yansıtılabiliyorsa, sayfa çeşitli sorunlara karşı savunmasız olabilir.
- [ ] [**Client Side Template Injection**](client-side-template-injection-csti.md)
- [ ] [**Command Injection**](command-injection.md)
@ -52,7 +52,7 @@ pocs-and-polygloths-cheatsheet/
### **Arama işlevleri**
Eğer işlev, arka uçta bazı verileri aramak için kullanılabiliyorsa, belki de bunu keyfi verileri aramak için (kötüye) kullanabilirsiniz.
Eğer işlev, arka uçta bazı verileri aramak için kullanılabiliyorsa, belki de onu keyfi verileri aramak için (kötüye) kullanabilirsiniz.
- [ ] [**File Inclusion/Path Traversal**](file-inclusion/index.html)
- [ ] [**NoSQL Injection**](nosql-injection.md)
@ -93,19 +93,21 @@ Bazı özel işlevlerde, bunları aşmak için bazı geçici çözümler yararl
### **Yapılandırılmış nesneler / Özel işlevler**
Bazı işlevler, **verilerin çok özel bir formatta yapılandırılmasını** gerektirir (örneğin, bir dil serileştirilmiş nesne veya XML). Bu nedenle, uygulamanın bu tür verileri işleyip işlemediğini belirlemek daha kolaydır.\
Bazı **özel işlevler**, **girişin belirli bir formatta kullanılması durumunda** da savunmasız olabilir (örneğin, E-posta Başlık Enjeksiyonları).
Bazı işlevler, **verilerin çok özel bir formatta yapılandırılmasını** gerektirir (örneğin, bir dil serileştirilmiş nesne veya XML). Bu nedenle, uygulamanın bu tür verileri işlemesi gerektiğinden, savunmasız olup olmadığını belirlemek daha kolaydır.\
Bazı **özel işlevler**, **girişin belirli bir formatı kullanıldığında** da savunmasız olabilir (örneğin, Email Header Injections).
- [ ] [**Deserialization**](deserialization/index.html)
- [ ] [**Email Header Injection**](email-injections.md)
- [ ] [**JWT Vulnerabilities**](hacking-jwt-json-web-tokens.md)
- [ ] [**XML External Entity**](xxe-xee-xml-external-entity.md)
- [ ] [**GraphQL Attacks**](../network-services-pentesting/pentesting-web/graphql.md)
- [ ] [**gRPC-Web Attacks**](grpc-web-pentest.md)
### Dosyalar
Dosya yüklemeye izin veren işlevler, çeşitli sorunlara karşı savunmasız olabilir.\
Kullanıcı girişini içeren dosyalar oluşturan işlevler beklenmedik kod çalıştırabilir.\
Kullanıcıların, kullanıcılar tarafından yüklenen veya kullanıcı girişini içeren otomatik olarak oluşturulan dosyaları açması durumunda tehlikeye girebilir.
Kullanıcıların yüklediği veya kullanıcı girişini içeren otomatik olarak oluşturulan dosyaları açan kullanıcılar tehlikeye girebilir.
- [ ] [**File Upload**](file-upload/index.html)
- [ ] [**Formula Injection**](formula-csv-doc-latex-ghostscript-injection.md)