From 65a7f3bdcf8d37073cd8d3dd5b1f9bf9d415f0af Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 23 Jul 2025 02:48:39 +0000 Subject: [PATCH] Translated ['src/pentesting-web/web-vulnerabilities-methodology.md'] to --- .../web-vulnerabilities-methodology.md | 20 ++++++++++--------- 1 file changed, 11 insertions(+), 9 deletions(-) diff --git a/src/pentesting-web/web-vulnerabilities-methodology.md b/src/pentesting-web/web-vulnerabilities-methodology.md index 245f59e98..15d97ce69 100644 --- a/src/pentesting-web/web-vulnerabilities-methodology.md +++ b/src/pentesting-web/web-vulnerabilities-methodology.md @@ -6,8 +6,8 @@ Her Web Pentest'te, **gizli ve belirgin birçok yerin savunmasız olabileceği** ## Proxies -> [!NOTE] -> Günümüzde **web** **uygulamaları** genellikle bazı tür **aracı** **proxy'ler** kullanmaktadır, bunlar zafiyetleri istismar etmek için (kötüye) kullanılabilir. Bu zafiyetlerin var olması için bir savunmasız proxy'nin mevcut olması gerekir, ancak genellikle arka uçta da ek bir zafiyet gerektirir. +> [!TIP] +> Günümüzde **web** **uygulamaları** genellikle bazı tür **aracı** **proxy'ler** kullanır, bunlar zafiyetleri istismar etmek için (kötüye) kullanılabilir. Bu zafiyetlerin var olması için bir savunmasız proxy'nin bulunması gerekir, ancak genellikle arka uçta da ek bir zafiyet gerektirir. - [ ] [**Abusing hop-by-hop headers**](abusing-hop-by-hop-headers.md) - [ ] [**Cache Poisoning/Cache Deception**](cache-deception/index.html) @@ -20,13 +20,13 @@ Her Web Pentest'te, **gizli ve belirgin birçok yerin savunmasız olabileceği** ## **Kullanıcı girişi** -> [!NOTE] +> [!TIP] > Çoğu web uygulaması, **kullanıcıların daha sonra işlenecek bazı verileri girmesine izin verir.**\ -> Sunucunun beklediği veri yapısına bağlı olarak bazı zafiyetler uygulanabilir veya uygulanmayabilir. +> Verilerin yapısına bağlı olarak, sunucunun beklediği bazı zafiyetler uygulanabilir veya uygulanmayabilir. ### **Yansıtılan Değerler** -Eğer girilen veriler bir şekilde yanıtta yansıtılabiliyorsa, sayfa çeşitli sorunlara karşı savunmasız olabilir. +Eğer girilen veriler bir şekilde yanıt içinde yansıtılabiliyorsa, sayfa çeşitli sorunlara karşı savunmasız olabilir. - [ ] [**Client Side Template Injection**](client-side-template-injection-csti.md) - [ ] [**Command Injection**](command-injection.md) @@ -52,7 +52,7 @@ pocs-and-polygloths-cheatsheet/ ### **Arama işlevleri** -Eğer işlev, arka uçta bazı verileri aramak için kullanılabiliyorsa, belki de bunu keyfi verileri aramak için (kötüye) kullanabilirsiniz. +Eğer işlev, arka uçta bazı verileri aramak için kullanılabiliyorsa, belki de onu keyfi verileri aramak için (kötüye) kullanabilirsiniz. - [ ] [**File Inclusion/Path Traversal**](file-inclusion/index.html) - [ ] [**NoSQL Injection**](nosql-injection.md) @@ -93,19 +93,21 @@ Bazı özel işlevlerde, bunları aşmak için bazı geçici çözümler yararl ### **Yapılandırılmış nesneler / Özel işlevler** -Bazı işlevler, **verilerin çok özel bir formatta yapılandırılmasını** gerektirir (örneğin, bir dil serileştirilmiş nesne veya XML). Bu nedenle, uygulamanın bu tür verileri işleyip işlemediğini belirlemek daha kolaydır.\ -Bazı **özel işlevler**, **girişin belirli bir formatta kullanılması durumunda** da savunmasız olabilir (örneğin, E-posta Başlık Enjeksiyonları). +Bazı işlevler, **verilerin çok özel bir formatta yapılandırılmasını** gerektirir (örneğin, bir dil serileştirilmiş nesne veya XML). Bu nedenle, uygulamanın bu tür verileri işlemesi gerektiğinden, savunmasız olup olmadığını belirlemek daha kolaydır.\ +Bazı **özel işlevler**, **girişin belirli bir formatı kullanıldığında** da savunmasız olabilir (örneğin, Email Header Injections). - [ ] [**Deserialization**](deserialization/index.html) - [ ] [**Email Header Injection**](email-injections.md) - [ ] [**JWT Vulnerabilities**](hacking-jwt-json-web-tokens.md) - [ ] [**XML External Entity**](xxe-xee-xml-external-entity.md) +- [ ] [**GraphQL Attacks**](../network-services-pentesting/pentesting-web/graphql.md) +- [ ] [**gRPC-Web Attacks**](grpc-web-pentest.md) ### Dosyalar Dosya yüklemeye izin veren işlevler, çeşitli sorunlara karşı savunmasız olabilir.\ Kullanıcı girişini içeren dosyalar oluşturan işlevler beklenmedik kod çalıştırabilir.\ -Kullanıcıların, kullanıcılar tarafından yüklenen veya kullanıcı girişini içeren otomatik olarak oluşturulan dosyaları açması durumunda tehlikeye girebilir. +Kullanıcıların yüklediği veya kullanıcı girişini içeren otomatik olarak oluşturulan dosyaları açan kullanıcılar tehlikeye girebilir. - [ ] [**File Upload**](file-upload/index.html) - [ ] [**Formula Injection**](formula-csv-doc-latex-ghostscript-injection.md)