Smart codes

Je kunt vaker via de URL of via ingevoerde data op een site 'verborgen' commando's meegeven welke het systeem een gemanipuleerde actie kan doe uitvoeren. Omdat dit qua Firewall en Virusscanner en andere beveiligingsapparatuur valide data is, kan daar niet op geanticipeerd worden

Dit moet ik nog verder in concreto uitwerken.

• WebSecurity https://portswigger.net/web-security 

• A Pentester’s Guide to Command Injection https://cobalt.io/blog/a-pentesters-guide-to-command-injection 

• https://book.hacktricks.xyz/pentesting-web/command-injection

• https://www.offensive-security.com/metasploit-unleashed/file-inclusion-vulnerabilities/

URL-command strings

• Allow arbitrary URLs, expect arbitrary code execution  APRIL 15, 2021

• https://owasp.org/www-community/vulnerabilities/Information_exposure_through_query_strings_in_url 

• https://www.virtuesecurity.com/kb/url-redirection-attack-and-defense/ 

• https://portswigger.net/web-security/host-header    ????

• https://portswigger.net/web-security/request-smuggling 

Buffer overrun

Database queries / SQL code injection

• https://portswigger.net/web-security/sql-injection 

OS  command injection

• https://portswigger.net/web-security/os-command-injection 

Log4j maliceous code execution

Update 01.01.2022