From c27e0294f063c4b9ca09d9b6fbf0d135d7b2796d Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 23 Jul 2025 02:48:12 +0000 Subject: [PATCH] Translated ['src/pentesting-web/web-vulnerabilities-methodology.md'] to --- .../web-vulnerabilities-methodology.md | 38 ++++++++++--------- 1 file changed, 20 insertions(+), 18 deletions(-) diff --git a/src/pentesting-web/web-vulnerabilities-methodology.md b/src/pentesting-web/web-vulnerabilities-methodology.md index 4dae809e2..fe484067c 100644 --- a/src/pentesting-web/web-vulnerabilities-methodology.md +++ b/src/pentesting-web/web-vulnerabilities-methodology.md @@ -2,27 +2,27 @@ {{#include ../banners/hacktricks-training.md}} -W każdym teście penetracyjnym aplikacji webowej istnieje **wiele ukrytych i oczywistych miejsc, które mogą być wrażliwe**. Ten post ma na celu stworzenie listy kontrolnej, aby potwierdzić, że przeszukałeś wrażliwości we wszystkich możliwych miejscach. +W każdym teście penetracyjnym aplikacji webowej istnieje **wiele ukrytych i oczywistych miejsc, które mogą być wrażliwe**. Ten post ma na celu być listą kontrolną, aby potwierdzić, że przeszukałeś wrażliwości we wszystkich możliwych miejscach. ## Proxies -> [!NOTE] +> [!TIP] > Obecnie **aplikacje** **webowe** zazwyczaj **używają** jakiegoś rodzaju **pośredniczących** **proxy**, które mogą być (nadużywane) do eksploatacji wrażliwości. Te wrażliwości wymagają, aby wrażliwe proxy było na miejscu, ale zazwyczaj potrzebują również dodatkowej wrażliwości w backendzie. - [ ] [**Nadużywanie nagłówków hop-by-hop**](abusing-hop-by-hop-headers.md) -- [ ] [**Zatrucie pamięci podręcznej/Oszuśtwo pamięci podręcznej**](cache-deception/index.html) +- [ ] [**Zatrucie pamięci podręcznej / Oszustwo pamięci podręcznej**](cache-deception/index.html) - [ ] [**Smuggling żądań HTTP**](http-request-smuggling/) - [ ] [**Smuggling H2C**](h2c-smuggling.md) -- [ ] [**Inkluzja po stronie serwera/Inkluzja po stronie krawędzi**](server-side-inclusion-edge-side-inclusion-injection.md) +- [ ] [**Inkluzja po stronie serwera / Inkluzja po stronie krawędzi**](server-side-inclusion-edge-side-inclusion-injection.md) - [ ] [**Odkrywanie Cloudflare**](../network-services-pentesting/pentesting-web/uncovering-cloudflare.md) -- [ ] [**Iniekcja XSLT po stronie serwera**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) -- [ ] [**Obejście ochrony Proxy/WAF**](proxy-waf-protections-bypass.md) +- [ ] [**Iniekcja po stronie serwera XSLT**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) +- [ ] [**Obejście ochrony Proxy / WAF**](proxy-waf-protections-bypass.md) ## **Dane wejściowe użytkownika** -> [!NOTE] -> Większość aplikacji webowych **pozwala użytkownikom na wprowadzenie danych, które będą później przetwarzane.**\ -> W zależności od struktury danych, których serwer oczekuje, niektóre wrażliwości mogą, ale nie muszą, mieć zastosowanie. +> [!TIP] +> Większość aplikacji webowych **pozwala użytkownikom na wprowadzenie danych, które będą przetwarzane później.**\ +> W zależności od struktury danych, które serwer oczekuje, niektóre wrażliwości mogą, ale nie muszą, mieć zastosowanie. ### **Wartości odzwierciedlone** @@ -32,19 +32,19 @@ Jeśli wprowadzone dane mogą w jakiś sposób być odzwierciedlone w odpowiedzi - [ ] [**Iniekcja poleceń**](command-injection.md) - [ ] [**CRLF**](crlf-0d-0a.md) - [ ] [**Zawieszone znaczniki**](dangling-markup-html-scriptless-injection/index.html) -- [ ] [**Inkluzja plików/Przechodzenie ścieżek**](file-inclusion/index.html) +- [ ] [**Inkluzja plików / Przechodzenie ścieżek**](file-inclusion/index.html) - [ ] [**Otwarte przekierowanie**](open-redirect.md) - [ ] [**Zanieczyszczenie prototypu do XSS**](deserialization/nodejs-proto-prototype-pollution/index.html#client-side-prototype-pollution-to-xss) -- [ ] [**Inkluzja po stronie serwera/Inkluzja po stronie krawędzi**](server-side-inclusion-edge-side-inclusion-injection.md) +- [ ] [**Inkluzja po stronie serwera / Inkluzja po stronie krawędzi**](server-side-inclusion-edge-side-inclusion-injection.md) - [ ] [**Fałszywe żądanie po stronie serwera**](ssrf-server-side-request-forgery/index.html) - [ ] [**Iniekcja szablonów po stronie serwera**](ssti-server-side-template-injection/index.html) - [ ] [**Odwrócone przechwytywanie kart**](reverse-tab-nabbing.md) -- [ ] [**Iniekcja XSLT po stronie serwera**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) +- [ ] [**Iniekcja po stronie serwera XSLT**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) - [ ] [**XSS**](xss-cross-site-scripting/index.html) - [ ] [**XSSI**](xssi-cross-site-script-inclusion.md) - [ ] [**XS-Search**](xs-search/index.html) -Niektóre z wymienionych wrażliwości wymagają specjalnych warunków, inne po prostu wymagają, aby treść była odzwierciedlona. Możesz znaleźć kilka interesujących poliglotów do szybkiego testowania wrażliwości w: +Niektóre z wymienionych wrażliwości wymagają specjalnych warunków, inne wymagają jedynie, aby treść była odzwierciedlona. Możesz znaleźć interesujące poligloty do szybkiego testowania wrażliwości w: {{#ref}} pocs-and-polygloths-cheatsheet/ @@ -52,9 +52,9 @@ pocs-and-polygloths-cheatsheet/ ### **Funkcje wyszukiwania** -Jeśli funkcjonalność może być używana do wyszukiwania jakiegoś rodzaju danych w backendzie, być może możesz (nadużyć) jej do wyszukiwania dowolnych danych. +Jeśli funkcjonalność może być używana do wyszukiwania jakichkolwiek danych w backendzie, być może możesz (nadużyć) jej do wyszukiwania dowolnych danych. -- [ ] [**Inkluzja plików/Przechodzenie ścieżek**](file-inclusion/index.html) +- [ ] [**Inkluzja plików / Przechodzenie ścieżek**](file-inclusion/index.html) - [ ] [**Iniekcja NoSQL**](nosql-injection.md) - [ ] [**Iniekcja LDAP**](ldap-injection.md) - [ ] [**ReDoS**](regular-expression-denial-of-service-redos.md) @@ -63,7 +63,7 @@ Jeśli funkcjonalność może być używana do wyszukiwania jakiegoś rodzaju da ### **Formularze, WebSockets i PostMsgs** -Gdy websocket wysyła wiadomość lub formularz umożliwiający użytkownikom wykonywanie działań, mogą wystąpić wrażliwości. +Gdy websocket wysyła wiadomość lub formularz pozwalający użytkownikom na wykonywanie działań, mogą wystąpić wrażliwości. - [ ] [**Fałszywe żądanie między witrynami**](csrf-cross-site-request-forgery.md) - [ ] [**Przechwytywanie WebSocket między witrynami (CSWSH)**](websocket-attacks.md) @@ -71,7 +71,7 @@ Gdy websocket wysyła wiadomość lub formularz umożliwiający użytkownikom wy ### **Nagłówki HTTP** -W zależności od nagłówków HTTP podawanych przez serwer webowy, mogą występować pewne wrażliwości. +W zależności od nagłówków HTTP podanych przez serwer webowy, mogą występować pewne wrażliwości. - [ ] [**Clickjacking**](clickjacking.md) - [ ] [**Obejście polityki bezpieczeństwa treści**](content-security-policy-csp-bypass/index.html) @@ -80,7 +80,7 @@ W zależności od nagłówków HTTP podawanych przez serwer webowy, mogą wystę ### **Obejścia** -Istnieje kilka specyficznych funkcjonalności, w których pewne obejścia mogą być przydatne do ich ominięcia. +Istnieje kilka specyficznych funkcjonalności, w których pewne obejścia mogą być przydatne. - [ ] [**Obejście 2FA/OTP**](2fa-bypass.md) - [ ] [**Obejście procesu płatności**](bypass-payment-process.md) @@ -100,6 +100,8 @@ Niektóre **specyficzne funkcjonalności** mogą być również wrażliwe, jeśl - [ ] [**Iniekcja nagłówków e-mail**](email-injections.md) - [ ] [**Wrażliwości JWT**](hacking-jwt-json-web-tokens.md) - [ ] [**Zewnętrzna jednostka XML**](xxe-xee-xml-external-entity.md) +- [ ] [**Ataki GraphQL**](../network-services-pentesting/pentesting-web/graphql.md) +- [ ] [**Ataki gRPC-Web**](grpc-web-pentest.md) ### Pliki