maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/account-takeover.md'] to el

Browse Source
This commit is contained in:
Translator 2025-04-03 13:58:20 +00:00
parent 2e76be8862
commit e54df13ff8
1 changed files with 9 additions and 9 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

18
src/pentesting-web/account-takeover.md
View File

@ -4,7 +4,7 @@
## **Πρόβλημα Εξουσιοδότησης**
Το email ενός λογαριασμού θα πρέπει να προσπαθήσει να αλλάξει, και η διαδικασία επιβεβαίωσης **πρέπει να εξεταστεί**. Αν βρεθεί **ασθενής**, το email θα πρέπει να αλλάξει σε αυτό του προοριζόμενου θύματος και στη συνέχεια να επιβεβαιωθεί.
Το email ενός λογαριασμού θα πρέπει να προσπαθήσει να αλλάξει, και η διαδικασία επιβεβαίωσης **πρέπει να εξεταστεί**. Εάν βρεθεί **ασθενής**, το email θα πρέπει να αλλάξει σε αυτό του προοριζόμενου θύματος και στη συνέχεια να επιβεβαιωθεί.
## **Πρόβλημα Κανονικοποίησης Unicode**
@ -16,7 +16,7 @@
- Δημιουργήστε έναν λογαριασμό στον τρίτο πάροχο ταυτότητας με παρόμοιο email με το θύμα χρησιμοποιώντας κάποιο χαρακτήρα unicode (`vićtim@company.com`).
- Ο τρίτος πάροχος δεν θα πρέπει να επαληθεύσει το email
- Αν ο πάροχος ταυτότητας επαληθεύσει το email, ίσως μπορείτε να επιτεθείτε στο μέρος του τομέα όπως: `victim@ćompany.com` και να καταχωρήσετε αυτόν τον τομέα και να ελπίζετε ότι ο πάροχος ταυτότητας θα δημιουργήσει την έκδοση ascii του τομέα ενώ η πλατφόρμα του θύματος κανονικοποιεί το όνομα τομέα.
- Εάν ο πάροχος ταυτότητας επαληθεύσει το email, ίσως μπορείτε να επιτεθείτε στο μέρος του τομέα όπως: `victim@ćompany.com` και να καταχωρήσετε αυτόν τον τομέα και να ελπίζετε ότι ο πάροχος ταυτότητας θα δημιουργήσει την ascii έκδοση του τομέα ενώ η πλατφόρμα του θύματος κανονικοποιεί το όνομα τομέα.
- Συνδεθείτε μέσω αυτού του παρόχου ταυτότητας στην πλατφόρμα του θύματος που θα πρέπει να κανονικοποιήσει τον χαρακτήρα unicode και να σας επιτρέψει να αποκτήσετε πρόσβαση στον λογαριασμό του θύματος.
Για περισσότερες λεπτομέρειες, ανατρέξτε στο έγγραφο σχετικά με την Κανονικοποίηση Unicode:
@ -27,7 +27,7 @@ unicode-injection/unicode-normalization.md
## **Επαναχρησιμοποίηση Συνδέσμου Επαναφοράς**
Αν το στοχευόμενο σύστημα επιτρέπει τον **σύνδεσμο επαναφοράς να επαναχρησιμοποιηθεί**, θα πρέπει να καταβληθούν προσπάθειες για **να βρείτε περισσότερους συνδέσμους επαναφοράς** χρησιμοποιώντας εργαλεία όπως `gau`, `wayback`, ή `scan.io`.
Εάν το σύστημα στόχος επιτρέπει τον **σύνδεσμο επαναφοράς να επαναχρησιμοποιηθεί**, θα πρέπει να καταβληθούν προσπάθειες για **να βρείτε περισσότερους συνδέσμους επαναφοράς** χρησιμοποιώντας εργαλεία όπως `gau`, `wayback`, ή `scan.io`.
## **Προ Ανάληψη Λογαριασμού**
@ -37,7 +37,7 @@ unicode-injection/unicode-normalization.md
## **Κακή Διαμόρφωση CORS για Ανάληψη Λογαριασμού**
Αν η σελίδα περιέχει **κακές διαμορφώσεις CORS** μπορεί να είστε σε θέση να **κλέψετε ευαίσθητες πληροφορίες** από τον χρήστη για να **αναλάβετε τον λογαριασμό του** ή να τον κάνετε να αλλάξει τις πληροφορίες αυθεντικοποίησης για τον ίδιο σκοπό:
Εάν η σελίδα περιέχει **κακές διαμορφώσεις CORS** μπορεί να είστε σε θέση να **κλέψετε ευαίσθητες πληροφορίες** από τον χρήστη για να **αναλάβετε τον λογαριασμό του** ή να τον κάνετε να αλλάξει τις πληροφορίες αυθεντικοποίησης για τον ίδιο σκοπό:
{{#ref}}
cors-bypass.md
@ -45,7 +45,7 @@ cors-bypass.md
## **CSRF για Ανάληψη Λογαριασμού**
Αν η σελίδα είναι ευάλωτη σε CSRF μπορεί να είστε σε θέση να κάνετε τον **χρήστη να τροποποιήσει τον κωδικό πρόσβασής του**, το email ή την αυθεντικοποίηση ώστε να μπορείτε στη συνέχεια να αποκτήσετε πρόσβαση σε αυτό:
Εάν η σελίδα είναι ευάλωτη σε CSRF μπορεί να είστε σε θέση να κάνετε τον **χρήστη να τροποποιήσει τον κωδικό πρόσβασής του**, το email ή την αυθεντικοποίηση ώστε να μπορείτε στη συνέχεια να αποκτήσετε πρόσβαση σε αυτό:
{{#ref}}
csrf-cross-site-request-forgery.md
@ -53,7 +53,7 @@ csrf-cross-site-request-forgery.md
## **XSS για Ανάληψη Λογαριασμού**
Αν βρείτε ένα XSS στην εφαρμογή μπορεί να είστε σε θέση να κλέψετε cookies, τοπική αποθήκευση, ή πληροφορίες από τη σελίδα που θα μπορούσαν να σας επιτρέψουν να αναλάβετε τον λογαριασμό:
Εάν βρείτε ένα XSS στην εφαρμογή μπορεί να είστε σε θέση να κλέψετε cookies, τοπική αποθήκευση, ή πληροφορίες από τη σελίδα που θα μπορούσαν να σας επιτρέψουν να αναλάβετε τον λογαριασμό:
{{#ref}}
xss-cross-site-scripting/
@ -61,7 +61,7 @@ xss-cross-site-scripting/
## **Ίδια Προέλευση + Cookies**
Αν βρείτε έναν περιορισμένο XSS ή μια ανάληψη υποτομέα, θα μπορούσατε να παίξετε με τα cookies (σταθεροποιώντας τα για παράδειγμα) για να προσπαθήσετε να συμβιβάσετε τον λογαριασμό του θύματος:
Εάν βρείτε έναν περιορισμένο XSS ή μια ανάληψη υποτομέα, θα μπορούσατε να παίξετε με τα cookies (σταθεροποιώντας τα για παράδειγμα) για να προσπαθήσετε να συμβιβάσετε τον λογαριασμό του θύματος:
{{#ref}}
hacking-with-cookies/
@ -75,7 +75,7 @@ reset-password.md
## **Μανιπουlation Απόκρισης**
Αν η απόκριση αυθεντικοποίησης μπορούσε να **μειωθεί σε μια απλή boolean απλά προσπαθήστε να αλλάξετε το false σε true** και δείτε αν αποκτάτε πρόσβαση.
Εάν η απόκριση αυθεντικοποίησης μπορούσε να **μειωθεί σε μια απλή boolean απλά προσπαθήστε να αλλάξετε το false σε true** και δείτε αν αποκτάτε πρόσβαση.
## OAuth για Ανάληψη Λογαριασμού
@ -113,7 +113,7 @@ oauth-to-account-takeover.md
### Παράκαμψη επαλήθευσης email για Ανάληψη Λογαριασμού
- Ο επιτιθέμενος συνδέεται με attacker@test.com και επαληθεύει το email κατά την εγγραφή.
- Ο επιτιθέμενος συνδέεται με τον επιτιθέμενο@test.com και επαληθεύει το email κατά την εγγραφή.
- Ο επιτιθέμενος αλλάζει το επαληθευμένο email σε victim@test.com (χωρίς δευτερεύουσα επαλήθευση στην αλλαγή email)
- Τώρα η ιστοσελίδα επιτρέπει στο victim@test.com να συνδεθεί και έχουμε παρακάμψει την επαλήθευση email του θύματος.