maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/account-takeover.md'] to sr

Browse Source
This commit is contained in:
Translator 2025-04-03 13:58:01 +00:00
parent 165f1e5e5e
commit 6f2c324358
1 changed files with 8 additions and 8 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

16
src/pentesting-web/account-takeover.md
View File

@ -4,7 +4,7 @@
## **Problem sa autorizacijom**
Email naloga treba pokušati promeniti, a proces potvrde **mora biti ispitivan**. Ako se utvrdi da je **slab**, email treba promeniti na onaj koji pripada nameravanoj žrtvi i zatim potvrditi.
Email naloga treba pokušati promeniti, a proces potvrde **mora biti ispitan**. Ako se utvrdi da je **slab**, email treba promeniti na onaj koji pripada nameravanoj žrtvi i zatim potvrditi.
## **Problem sa normalizacijom Unicode-a**
@ -75,7 +75,7 @@ reset-password.md
## **Manipulacija odgovorom**
Ako se odgovor na autentifikaciju može **smanjiti na jednostavnu boolean vrednost, pokušajte da promenite false u true** i vidite da li dobijate bilo kakav pristup.
Ako se odgovor na autentifikaciju može **smanjiti na jednostavnu boolean vrednost, samo pokušajte da promenite false u true** i vidite da li dobijate bilo kakav pristup.
## OAuth za preuzimanje naloga
@ -86,16 +86,16 @@ oauth-to-account-takeover.md
## Injekcija Host zaglavlja
1. Host zaglavlje se menja nakon iniciranja zahteva za resetovanje lozinke.
2. `X-Forwarded-For` proxy zaglavlje se menja u `attacker.com`.
3. Host, Referrer i Origin zaglavlja se istovremeno menjaju u `attacker.com`.
2. `X-Forwarded-For` proxy zaglavlje se menja na `attacker.com`.
3. Host, Referrer i Origin zaglavlja se istovremeno menjaju na `attacker.com`.
4. Nakon iniciranja resetovanja lozinke i zatim odabira ponovnog slanja maila, koriste se sve tri prethodno navedene metode.
## Manipulacija odgovorom
1. **Manipulacija kodom**: Status kod se menja u `200 OK`.
1. **Manipulacija kodom**: Status kod se menja na `200 OK`.
2. **Manipulacija kodom i telom**:
- Status kod se menja u `200 OK`.
- Telo odgovora se menja u `{"success":true}` ili prazan objekat `{}`.
- Status kod se menja na `200 OK`.
- Telo odgovora se menja na `{"success":true}` ili prazan objekat `{}`.
Ove tehnike manipulacije su efikasne u scenarijima gde se JSON koristi za prenos i prijem podataka.
@ -104,7 +104,7 @@ Ove tehnike manipulacije su efikasne u scenarijima gde se JSON koristi za prenos
Iz [ovog izveštaja](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea):
- Napadač traži da promeni svoj email na novi
- Napadač prima link za potvrdu promene email-a
- Napadač dobija link za potvrdu promene email-a
- Napadač šalje žrtvi link da ga klikne
- Email žrtve se menja na onaj koji je naznačio napadač
- Napadač može povratiti lozinku i preuzeti nalog