mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
17 lines
1.8 KiB
Markdown
17 lines
1.8 KiB
Markdown
# Kliëntkant Pad Traversering
|
|
|
|
{{#include ../banners/hacktricks-training.md}}
|
|
|
|
## Basiese Inligting
|
|
|
|
'n Kliëntkant pad traversering vind plaas wanneer jy die **pad van 'n URL** kan **manipuleer** wat **gestuur gaan word na 'n gebruiker om op 'n wettige manier te besoek** of wat 'n gebruiker op een of ander manier **gedwonge gaan word om te besoek, byvoorbeeld via JS of CSS**.
|
|
|
|
- In [**hierdie skrywe**](https://erasec.be/blog/client-side-path-manipulation/), was dit moontlik om die **uitnodigings-URL** te **verander** sodat dit sou eindig met **die kansellasie van 'n kaart**.
|
|
- In [**hierdie skrywe**](https://mr-medi.github.io/research/2022/11/04/practical-client-side-path-traversal-attacks.html), was dit moontlik om 'n **kliëntkant pad traversering via CSS** te kombineer (dit was moontlik om die pad waar 'n CSS hulpbron gelaai is te verander) met 'n **oop omleiding** om die CSS hulpbron van 'n **aanvaller beheerde domein** te laai.
|
|
- In [**hierdie skrywe**](https://blog.doyensec.com/2024/07/02/cspt2csrf.html), is dit moontlik om 'n tegniek te sien oor hoe om CSPT **te misbruik om 'n CSRF-aanval** uit te voer. Dit word gedoen deur **alle data** wat 'n aanvaller kan beheer (URL pad, parameters, fragment, data ingespuit in die DB...) **en die sinke** waarheen hierdie data eindig (versoeke wat uitgevoer word) te **moniteer**.
|
|
- Kyk na [**hierdie blaaiers uitbreiding**](https://addons.mozilla.org/en-US/firefox/addon/eval-villain/) om dit te monitor.
|
|
- Kyk na hierdie [**CSPT speelgrond**](https://github.com/doyensec/CSPTPlayground) om die tegniek te probeer.
|
|
- Kyk na [**hierdie tutoriaal**](https://blog.doyensec.com/2024/12/03/cspt-with-eval-villain.html) oor hoe om die blaaiers uitbreiding in die speelgrond te gebruik.
|
|
|
|
{{#include ../banners/hacktricks-training.md}}
|