From d49610558af37b825b0a201bf1905ec5bc1aeb64 Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 23 Jul 2025 02:48:29 +0000 Subject: [PATCH] Translated ['src/pentesting-web/web-vulnerabilities-methodology.md'] to --- .../web-vulnerabilities-methodology.md | 130 +++++++++--------- 1 file changed, 66 insertions(+), 64 deletions(-) diff --git a/src/pentesting-web/web-vulnerabilities-methodology.md b/src/pentesting-web/web-vulnerabilities-methodology.md index 6b190c413..80469abdc 100644 --- a/src/pentesting-web/web-vulnerabilities-methodology.md +++ b/src/pentesting-web/web-vulnerabilities-methodology.md @@ -4,47 +4,47 @@ U svakom Web Pentestu, postoji **several hidden and obvious places that might be vulnerable**. Ovaj post je zamišljen kao kontrolna lista da potvrdite da ste pretražili ranjivosti na svim mogućim mestima. -## Proksi +## Proxies -> [!NOTE] -> Danas **web** **aplikacije** obično **koriste** neku vrstu **posredničkih** **proksija**, koje se mogu (zlo)upotrebljavati za eksploataciju ranjivosti. Ove ranjivosti zahtevaju da postoji ranjivi proksi, ali obično takođe zahtevaju neku dodatnu ranjivost u pozadini. +> [!TIP] +> Danas **web** **aplikacije** obično **koriste** neku vrstu **posredničkih** **proxy-a**, koje se mogu (zlo)upotrebljavati za eksploataciju ranjivosti. Ove ranjivosti zahtevaju da postoji ranjivi proxy, ali obično takođe zahtevaju neku dodatnu ranjivost u pozadini. -- [ ] [**Zloupotreba hop-by-hop zaglavlja**](abusing-hop-by-hop-headers.md) -- [ ] [**Trovanje kešom/Obmanjivanje keša**](cache-deception/index.html) +- [ ] [**Abusing hop-by-hop headers**](abusing-hop-by-hop-headers.md) +- [ ] [**Cache Poisoning/Cache Deception**](cache-deception/index.html) - [ ] [**HTTP Request Smuggling**](http-request-smuggling/) - [ ] [**H2C Smuggling**](h2c-smuggling.md) -- [ ] [**Uključivanje sa servera/Uključivanje sa ivice**](server-side-inclusion-edge-side-inclusion-injection.md) -- [ ] [**Otkrivanje Cloudflare-a**](../network-services-pentesting/pentesting-web/uncovering-cloudflare.md) -- [ ] [**XSLT Uključivanje sa servera**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) -- [ ] [**Obilaženje zaštita proksija/WAF-a**](proxy-waf-protections-bypass.md) +- [ ] [**Server Side Inclusion/Edge Side Inclusion**](server-side-inclusion-edge-side-inclusion-injection.md) +- [ ] [**Uncovering Cloudflare**](../network-services-pentesting/pentesting-web/uncovering-cloudflare.md) +- [ ] [**XSLT Server Side Injection**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) +- [ ] [**Proxy / WAF Protections Bypass**](proxy-waf-protections-bypass.md) ## **Korisnički unos** -> [!NOTE] +> [!TIP] > Većina web aplikacija će **dozvoliti korisnicima da unesu neke podatke koji će kasnije biti obrađeni.**\ > U zavisnosti od strukture podataka koje server očekuje, neke ranjivosti mogu ili ne moraju da se primene. ### **Reflektovane vrednosti** -Ako se uneti podaci mogu na neki način odraziti u odgovoru, stranica može biti ranjiva na nekoliko problema. +Ako se uneti podaci mogu na neki način reflektovati u odgovoru, stranica može biti ranjiva na nekoliko problema. -- [ ] [**Uključivanje šablona na klijentskoj strani**](client-side-template-injection-csti.md) -- [ ] [**Uključivanje komandi**](command-injection.md) +- [ ] [**Client Side Template Injection**](client-side-template-injection-csti.md) +- [ ] [**Command Injection**](command-injection.md) - [ ] [**CRLF**](crlf-0d-0a.md) -- [ ] [**Viseći markup**](dangling-markup-html-scriptless-injection/index.html) -- [ ] [**Uključivanje datoteka/Prelazak putanje**](file-inclusion/index.html) -- [ ] [**Otvorena preusmeravanja**](open-redirect.md) -- [ ] [**Zagađenje prototipa do XSS**](deserialization/nodejs-proto-prototype-pollution/index.html#client-side-prototype-pollution-to-xss) -- [ ] [**Uključivanje sa servera/Uključivanje sa ivice**](server-side-inclusion-edge-side-inclusion-injection.md) -- [ ] [**Uključivanje zahteva sa servera**](ssrf-server-side-request-forgery/index.html) -- [ ] [**Uključivanje šablona sa servera**](ssti-server-side-template-injection/index.html) -- [ ] [**Obrnuto preuzimanje taba**](reverse-tab-nabbing.md) -- [ ] [**XSLT Uključivanje sa servera**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) +- [ ] [**Dangling Markup**](dangling-markup-html-scriptless-injection/index.html) +- [ ] [**File Inclusion/Path Traversal**](file-inclusion/index.html) +- [ ] [**Open Redirect**](open-redirect.md) +- [ ] [**Prototype Pollution to XSS**](deserialization/nodejs-proto-prototype-pollution/index.html#client-side-prototype-pollution-to-xss) +- [ ] [**Server Side Inclusion/Edge Side Inclusion**](server-side-inclusion-edge-side-inclusion-injection.md) +- [ ] [**Server Side Request Forgery**](ssrf-server-side-request-forgery/index.html) +- [ ] [**Server Side Template Injection**](ssti-server-side-template-injection/index.html) +- [ ] [**Reverse Tab Nabbing**](reverse-tab-nabbing.md) +- [ ] [**XSLT Server Side Injection**](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) - [ ] [**XSS**](xss-cross-site-scripting/index.html) - [ ] [**XSSI**](xssi-cross-site-script-inclusion.md) -- [ ] [**XS-Pretraga**](xs-search/index.html) +- [ ] [**XS-Search**](xs-search/index.html) -Neke od pomenutih ranjivosti zahtevaju posebne uslove, dok druge samo zahtevaju da se sadržaj odražava. Možete pronaći neke zanimljive poliglotove za brzo testiranje ranjivosti u: +Neke od pomenutih ranjivosti zahtevaju posebne uslove, dok druge samo zahtevaju da se sadržaj reflektuje. Možete pronaći neke zanimljive poliglotove za brzo testiranje ranjivosti u: {{#ref}} pocs-and-polygloths-cheatsheet/ @@ -52,78 +52,80 @@ pocs-and-polygloths-cheatsheet/ ### **Funkcionalnosti pretrage** -Ako se funkcionalnost može koristiti za pretraživanje nekih podataka unutar pozadine, možda je možete (zlo)upotrebiti za pretraživanje proizvoljnih podataka. +Ako se funkcionalnost može koristiti za pretraživanje nekih podataka unutar pozadine, možda je možete (zlo)upotrebljavati za pretraživanje proizvoljnih podataka. -- [ ] [**Uključivanje datoteka/Prelazak putanje**](file-inclusion/index.html) -- [ ] [**NoSQL Uključivanje**](nosql-injection.md) -- [ ] [**LDAP Uključivanje**](ldap-injection.md) +- [ ] [**File Inclusion/Path Traversal**](file-inclusion/index.html) +- [ ] [**NoSQL Injection**](nosql-injection.md) +- [ ] [**LDAP Injection**](ldap-injection.md) - [ ] [**ReDoS**](regular-expression-denial-of-service-redos.md) -- [ ] [**SQL Uključivanje**](sql-injection/index.html) -- [ ] [**XPATH Uključivanje**](xpath-injection.md) +- [ ] [**SQL Injection**](sql-injection/index.html) +- [ ] [**XPATH Injection**](xpath-injection.md) -### **Obrasci, WebSocket-i i PostMsg-ovi** +### **Forme, WebSockets i PostMsgs** -Kada WebSocket pošalje poruku ili obrazac koji omogućava korisnicima da izvrše radnje, mogu se pojaviti ranjivosti. +Kada websocket pošalje poruku ili forma dozvoli korisnicima da izvrše akcije, ranjivosti se mogu pojaviti. - [ ] [**Cross Site Request Forgery**](csrf-cross-site-request-forgery.md) -- [ ] [**Zauzimanje WebSocket-a (CSWSH)**](websocket-attacks.md) -- [ ] [**PostMessage Ranjivosti**](postmessage-vulnerabilities/index.html) +- [ ] [**Cross-site WebSocket hijacking (CSWSH)**](websocket-attacks.md) +- [ ] [**PostMessage Vulnerabilities**](postmessage-vulnerabilities/index.html) -### **HTTP Zaglavlja** +### **HTTP zaglavlja** U zavisnosti od HTTP zaglavlja koje daje web server, neke ranjivosti mogu biti prisutne. - [ ] [**Clickjacking**](clickjacking.md) -- [ ] [**Obilaženje politike bezbednosti sadržaja**](content-security-policy-csp-bypass/index.html) -- [ ] [**Hacking kolačića**](hacking-with-cookies/index.html) -- [ ] [**CORS - Pogrešne konfiguracije i obilaženje**](cors-bypass.md) +- [ ] [**Content Security Policy bypass**](content-security-policy-csp-bypass/index.html) +- [ ] [**Cookies Hacking**](hacking-with-cookies/index.html) +- [ ] [**CORS - Misconfigurations & Bypass**](cors-bypass.md) ### **Obilaženja** Postoji nekoliko specifičnih funkcionalnosti gde bi neka rešenja mogla biti korisna za obilaženje. -- [ ] [**Obilaženje 2FA/OTP**](2fa-bypass.md) -- [ ] [**Obilaženje procesa plaćanja**](bypass-payment-process.md) -- [ ] [**Obilaženje Captche**](captcha-bypass.md) -- [ ] [**Obilaženje prijave**](login-bypass/index.html) -- [ ] [**Uslovni trka**](race-condition.md) -- [ ] [**Obilaženje ograničenja brzine**](rate-limit-bypass.md) -- [ ] [**Obilaženje resetovanja zaboravljene lozinke**](reset-password.md) -- [ ] [**Ranjivosti registracije**](registration-vulnerabilities.md) +- [ ] [**2FA/OTP Bypass**](2fa-bypass.md) +- [ ] [**Bypass Payment Process**](bypass-payment-process.md) +- [ ] [**Captcha Bypass**](captcha-bypass.md) +- [ ] [**Login Bypass**](login-bypass/index.html) +- [ ] [**Race Condition**](race-condition.md) +- [ ] [**Rate Limit Bypass**](rate-limit-bypass.md) +- [ ] [**Reset Forgotten Password Bypass**](reset-password.md) +- [ ] [**Registration Vulnerabilities**](registration-vulnerabilities.md) ### **Strukturirani objekti / Specifične funkcionalnosti** Neke funkcionalnosti će zahtevati da **podaci budu strukturirani u vrlo specifičnom formatu** (kao što je jezik serijalizovanog objekta ili XML). Stoga, lakše je identifikovati da li aplikacija može biti ranjiva jer mora obraditi tu vrstu podataka.\ -Neke **specifične funkcionalnosti** takođe mogu biti ranjive ako se koristi **specifičan format unosa** (kao što su injekcije zaglavlja e-pošte). +Neke **specifične funkcionalnosti** takođe mogu biti ranjive ako se koristi **specifičan format unosa** (kao što su Email Header Injections). -- [ ] [**Deserializacija**](deserialization/index.html) -- [ ] [**Injekcija zaglavlja e-pošte**](email-injections.md) -- [ ] [**JWT Ranjivosti**](hacking-jwt-json-web-tokens.md) -- [ ] [**XML Eksterna Entiteta**](xxe-xee-xml-external-entity.md) +- [ ] [**Deserialization**](deserialization/index.html) +- [ ] [**Email Header Injection**](email-injections.md) +- [ ] [**JWT Vulnerabilities**](hacking-jwt-json-web-tokens.md) +- [ ] [**XML External Entity**](xxe-xee-xml-external-entity.md) +- [ ] [**GraphQL Attacks**](../network-services-pentesting/pentesting-web/graphql.md) +- [ ] [**gRPC-Web Attacks**](grpc-web-pentest.md) -### Datoteke +### Fajlovi -Funkcionalnosti koje omogućavaju učitavanje datoteka mogu biti ranjive na nekoliko problema.\ -Funkcionalnosti koje generišu datoteke uključujući korisnički unos mogu izvršiti neočekivani kod.\ -Korisnici koji otvaraju datoteke koje su učitali korisnici ili automatski generisane uključujući korisnički unos mogu biti kompromitovani. +Funkcionalnosti koje omogućavaju učitavanje fajlova mogu biti ranjive na nekoliko problema.\ +Funkcionalnosti koje generišu fajlove uključujući korisnički unos mogu izvršiti neočekivani kod.\ +Korisnici koji otvaraju fajlove koje su učitali korisnici ili automatski generisane uključujući korisnički unos mogu biti kompromitovani. -- [ ] [**Učitavanje datoteka**](file-upload/index.html) -- [ ] [**Injekcija formula**](formula-csv-doc-latex-ghostscript-injection.md) -- [ ] [**Injekcija PDF-a**](xss-cross-site-scripting/pdf-injection.md) -- [ ] [**XSS sa servera**](xss-cross-site-scripting/server-side-xss-dynamic-pdf.md) +- [ ] [**File Upload**](file-upload/index.html) +- [ ] [**Formula Injection**](formula-csv-doc-latex-ghostscript-injection.md) +- [ ] [**PDF Injection**](xss-cross-site-scripting/pdf-injection.md) +- [ ] [**Server Side XSS**](xss-cross-site-scripting/server-side-xss-dynamic-pdf.md) ### **Upravljanje spoljnim identitetom** -- [ ] [**OAUTH do preuzimanja naloga**](oauth-to-account-takeover.md) -- [ ] [**SAML napadi**](saml-attacks/index.html) +- [ ] [**OAUTH to Account takeover**](oauth-to-account-takeover.md) +- [ ] [**SAML Attacks**](saml-attacks/index.html) ### **Druge korisne ranjivosti** Ove ranjivosti mogu pomoći u eksploataciji drugih ranjivosti. -- [ ] [**Preuzimanje domena/subdomena**](domain-subdomain-takeover.md) +- [ ] [**Domain/Subdomain takeover**](domain-subdomain-takeover.md) - [ ] [**IDOR**](idor.md) -- [ ] [**Zagađenje parametara**](parameter-pollution.md) -- [ ] [**Ranjivost normalizacije Unicode-a**](unicode-injection/index.html) +- [ ] [**Parameter Pollution**](parameter-pollution.md) +- [ ] [**Unicode Normalization vulnerability**](unicode-injection/index.html) {{#include ../banners/hacktricks-training.md}}