hacktricks/src/pentesting-web/client-side-path-traversal.md

# Client Side Path Traversal

{{#include ../banners/hacktricks-training.md}}

## Basic Information

Path traversal ya upande wa mteja inatokea wakati unaweza **kuharibu njia ya URL** ambayo itatumwa **kwa mtumiaji kutembelea kwa njia halali** au kwamba mtumiaji kwa namna fulani atakuwa **lazimishwa kutembelea kwa mfano kupitia JS au CSS**.

- Katika [**hii andiko**](https://erasec.be/blog/client-side-path-manipulation/), ilikuwa inawezekana **kubadilisha URL ya mwaliko** ili ikamilishe **kuondoa kadi**.
- Katika [**hii andiko**](https://mr-medi.github.io/research/2022/11/04/practical-client-side-path-traversal-attacks.html), ilikuwa inawezekana kuunganisha **path traversal ya upande wa mteja kupitia CSS** (ilikuwa inawezekana kubadilisha njia ambapo rasilimali ya CSS ilipakuliwa) na **redirect wazi** ili kupakua rasilimali ya CSS kutoka **domeni inayodhibitiwa na mshambuliaji**.
- Katika [**hii andiko**](https://blog.doyensec.com/2024/07/02/cspt2csrf.html), inawezekana kuona mbinu jinsi ya kutumia CSPT **kutekeleza shambulio la CSRF**. Hii inafanywa kwa **kufuatilia data zote** ambazo mshambuliaji anaweza kudhibiti (njia ya URL, vigezo, kipande, data iliyowekwa kwenye DB...) **na mahali** ambapo data hii inaishia (maombi yanayofanywa).
- Angalia [**hii nyongeza ya kivinjari**](https://addons.mozilla.org/en-US/firefox/addon/eval-villain/) kufuatilia hilo.
- Angalia [**hii CSPT playground**](https://github.com/doyensec/CSPTPlayground) kujaribu mbinu hiyo.
- Angalia [**hii mafunzo**](https://blog.doyensec.com/2024/12/03/cspt-with-eval-villain.html) juu ya jinsi ya kutumia nyongeza ya kivinjari katika playground.

{{#include ../banners/hacktricks-training.md}}