Top 10 web hacking techniques of 2021 — PortSwigger

4 months ago 20
OK , mình sẽ từ từ dịch hết tất cả các method , các bạn có thể có thể xem bản gốc ở đây : “‘Top 10 web hacking techniques of 2021 — PortSwigger’”Mình dịch blog này , chủ yếu sẽ làm quen với các kỹ thuật exploit mới , sẽ khó hiểu hơn những phần cơ bản , tuy nhiên sẽ đem lại những kiến thức mới và sẽ giúp các bạn trong tương lai, tin mình đi nếu sau này các bạn làm những công việc tìm lỗi bảo mật , với những kiến thức được đọc qua , các bạn sẽ phát hiện lỗi nhanh hơn với những người không đọc nhiều .*A NEW ATTACK SURFACE ON MICROSOFT EXCHANGE — PROXYSHELL!(này hình như bug đầu 2021 , kiểu như thực thi RCE vào win server thông qua web mail outlook của windows).

Mình cũng ko có kiến thức về asp.net nhưng theo mình biết thì web do win server làm host thì sẽ chủ yếu về làm bằng asp.net, web nhìn không đẹp thường chủ yếu cho các công việc kế toán

Thì mình sẽ có 3 loại CVE là

CVE-2021–34473 — Pre-auth Path Confusion leads to ACL Bypass
CVE-2021–34523 — Elevation of Privilege on Exchange PowerShell Backend
CVE-2021–31207 — Post-auth Arbitrary-File-Write leads to RCE

-Với ProxyShell , attacker có thể chạy lênh trên Microsoft Exchange Server thông qua port 443

CVE-2021–34473 — Pre-auth Path Confusion

Lỗi đầu tiên của ProxyShell là SSRF trong ProxyLogon. Nó xuất hiện khi frontend được liên kết với backend URL. Khi mà

Read Entire Article