From 8adafce7d5a27cf098ea4397912d16f31e5094f6 Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 23 Jul 2025 02:48:21 +0000 Subject: [PATCH] Translated ['src/pentesting-web/web-vulnerabilities-methodology.md'] to --- .../web-vulnerabilities-methodology.md | 48 ++++++++++--------- 1 file changed, 25 insertions(+), 23 deletions(-) diff --git a/src/pentesting-web/web-vulnerabilities-methodology.md b/src/pentesting-web/web-vulnerabilities-methodology.md index 6c92e1b35..aab4e48ff 100644 --- a/src/pentesting-web/web-vulnerabilities-methodology.md +++ b/src/pentesting-web/web-vulnerabilities-methodology.md @@ -2,11 +2,11 @@ {{#include ../banners/hacktricks-training.md}} -У кожному веб-пентесті є **кілька прихованих і очевидних місць, які можуть бути вразливими**. Ця стаття призначена як контрольний список, щоб підтвердити, що ви перевірили всі можливі місця на наявність уразливостей. +У кожному веб-пентесті є **кілька прихованих і очевидних місць, які можуть бути вразливими**. Ця стаття призначена для того, щоб бути контрольним списком, щоб підтвердити, що ви шукали уразливості в усіх можливих місцях. ## Проксі -> [!NOTE] +> [!TIP] > Сьогодні **веб** **додатки** зазвичай **використовують** якийсь вид **проміжних** **проксі**, які можуть бути (зловжиті) для експлуатації уразливостей. Ці уразливості потребують наявності вразливого проксі, але зазвичай також потребують додаткової уразливості на бекенді. - [ ] [**Зловживання заголовками hop-by-hop**](abusing-hop-by-hop-headers.md) @@ -20,25 +20,25 @@ ## **Введення користувача** -> [!NOTE] +> [!TIP] > Більшість веб-додатків **дозволяють користувачам вводити деякі дані, які будуть оброблені пізніше.**\ -> Залежно від структури даних, які очікує сервер, деякі уразливості можуть або не можуть застосовуватися. +> Залежно від структури даних, які сервер очікує, деякі уразливості можуть або не можуть застосовуватися. ### **Відображені значення** -Якщо введені дані можуть бути відображені у відповіді, сторінка може бути вразливою до кількох проблем. +Якщо введені дані можуть бути якимось чином відображені у відповіді, сторінка може бути вразливою до кількох проблем. -- [ ] [**Введення шаблону на стороні клієнта**](client-side-template-injection-csti.md) -- [ ] [**Введення команд**](command-injection.md) +- [ ] [**Включення шаблону на стороні клієнта**](client-side-template-injection-csti.md) +- [ ] [**Включення команд**](command-injection.md) - [ ] [**CRLF**](crlf-0d-0a.md) - [ ] [**Залишковий розмітка**](dangling-markup-html-scriptless-injection/index.html) -- [ ] [**Включення файлів/Перехід по шляху**](file-inclusion/index.html) +- [ ] [**Включення файлів/Перехід по шляхах**](file-inclusion/index.html) - [ ] [**Відкритий редирект**](open-redirect.md) - [ ] [**Забруднення прототипу до XSS**](deserialization/nodejs-proto-prototype-pollution/index.html#client-side-prototype-pollution-to-xss) - [ ] [**Серверне включення/Включення на краю**](server-side-inclusion-edge-side-inclusion-injection.md) - [ ] [**Серверне підроблення запитів**](ssrf-server-side-request-forgery/index.html) -- [ ] [**Введення шаблону на стороні сервера**](ssti-server-side-template-injection/index.html) -- [ ] [**Зворотне таб-навчання**](reverse-tab-nabbing.md) +- [ ] [**Включення шаблону на стороні сервера**](ssti-server-side-template-injection/index.html) +- [ ] [**Зворотне таб-навбінг**](reverse-tab-nabbing.md) - [ ] [**XSLT Серверне включення**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) - [ ] [**XSS**](xss-cross-site-scripting/index.html) - [ ] [**XSSI**](xssi-cross-site-script-inclusion.md) @@ -52,21 +52,21 @@ pocs-and-polygloths-cheatsheet/ ### **Функції пошуку** -Якщо функція може бути використана для пошуку якихось даних на бекенді, можливо, ви зможете (зловжити) нею для пошуку довільних даних. +Якщо функціональність може бути використана для пошуку якихось даних на бекенді, можливо, ви зможете (зловжити) нею для пошуку довільних даних. -- [ ] [**Включення файлів/Перехід по шляху**](file-inclusion/index.html) -- [ ] [**NoSQL Введення**](nosql-injection.md) -- [ ] [**LDAP Введення**](ldap-injection.md) +- [ ] [**Включення файлів/Перехід по шляхах**](file-inclusion/index.html) +- [ ] [**NoSQL Injection**](nosql-injection.md) +- [ ] [**LDAP Injection**](ldap-injection.md) - [ ] [**ReDoS**](regular-expression-denial-of-service-redos.md) -- [ ] [**SQL Введення**](sql-injection/index.html) -- [ ] [**XPATH Введення**](xpath-injection.md) +- [ ] [**SQL Injection**](sql-injection/index.html) +- [ ] [**XPATH Injection**](xpath-injection.md) ### **Форми, WebSockets та PostMsgs** Коли вебсокет надсилає повідомлення або форма дозволяє користувачам виконувати дії, можуть виникнути уразливості. - [ ] [**Cross Site Request Forgery**](csrf-cross-site-request-forgery.md) -- [ ] [**Перехоплення WebSocket (CSWSH)**](websocket-attacks.md) +- [ ] [**Перехоплення WebSocket між сайтами (CSWSH)**](websocket-attacks.md) - [ ] [**Уразливості PostMessage**](postmessage-vulnerabilities/index.html) ### **HTTP Заголовки** @@ -74,7 +74,7 @@ pocs-and-polygloths-cheatsheet/ Залежно від HTTP заголовків, наданих веб-сервером, можуть бути присутніми деякі уразливості. - [ ] [**Clickjacking**](clickjacking.md) -- [ ] [**Обхід політики безпеки вмісту**](content-security-policy-csp-bypass/index.html) +- [ ] [**Обхід політики безпеки контенту**](content-security-policy-csp-bypass/index.html) - [ ] [**Злом Cookies**](hacking-with-cookies/index.html) - [ ] [**CORS - Неправильні налаштування та обхід**](cors-bypass.md) @@ -93,13 +93,15 @@ pocs-and-polygloths-cheatsheet/ ### **Структуровані об'єкти / Специфічні функції** -Деякі функції вимагатимуть, щоб **дані були структуровані в дуже специфічному форматі** (наприклад, об'єкт, серіалізований мовою або XML). Тому легше визначити, чи може додаток бути вразливим, оскільки він повинен обробляти такі дані.\ -Деякі **специфічні функції** також можуть бути вразливими, якщо використовується **специфічний формат введення** (наприклад, Введення заголовків електронної пошти). +Деякі функції вимагатимуть, щоб **дані були структуровані в дуже специфічному форматі** (як серіалізований об'єкт мови або XML). Тому легше визначити, чи може додаток бути вразливим, оскільки він повинен обробляти такі дані.\ +Деякі **специфічні функції** також можуть бути вразливими, якщо використовується **специфічний формат введення** (як ін'єкції заголовків електронної пошти). - [ ] [**Десеріалізація**](deserialization/index.html) -- [ ] [**Введення заголовка електронної пошти**](email-injections.md) +- [ ] [**Ін'єкція заголовка електронної пошти**](email-injections.md) - [ ] [**Уразливості JWT**](hacking-jwt-json-web-tokens.md) - [ ] [**XML Зовнішня сутність**](xxe-xee-xml-external-entity.md) +- [ ] [**Атаки GraphQL**](../network-services-pentesting/pentesting-web/graphql.md) +- [ ] [**Атаки gRPC-Web**](grpc-web-pentest.md) ### Файли @@ -108,8 +110,8 @@ pocs-and-polygloths-cheatsheet/ Користувачі, які відкривають файли, завантажені користувачами або автоматично згенеровані, включаючи введення користувача, можуть бути скомпрометовані. - [ ] [**Завантаження файлів**](file-upload/index.html) -- [ ] [**Введення формули**](formula-csv-doc-latex-ghostscript-injection.md) -- [ ] [**PDF Введення**](xss-cross-site-scripting/pdf-injection.md) +- [ ] [**Ін'єкція формули**](formula-csv-doc-latex-ghostscript-injection.md) +- [ ] [**Ін'єкція PDF**](xss-cross-site-scripting/pdf-injection.md) - [ ] [**Серверний XSS**](xss-cross-site-scripting/server-side-xss-dynamic-pdf.md) ### **Зовнішнє управління ідентичністю**