URL Jumping Tutorial

[trisn]

Code:

URL Jumping
by '; trisn



0x01:

Willkommen zu meinem kleinen Tutorial über URL Jumping , vorab was sagt uns dies genau ?

URL = Klar , die Adresse die Webseite.
Jumping = Springen -> in diesem fall überspringen.


0x02:Erklärung

Mit überspringen hab ich eigentlich schon so gut wie alles gennant.
Wir ihr wisst hat ein Shop zB eine Gliederung von 


shop.de/verkauf/angebote.cgi
shop.de./verkauf/warenkorb.cgi
shop.de/verkauf/anmeldung.cgi
shop.de/verkauf/bezahlung.cgi
shop.de/verkauf/bestellungerfolgreichbeendet.cgi

Wir sehen eine Gliederung die jeden Schritt zeigt ;

.Woher können wir diese Gliederung erkennen ?
A: Zum Beispiel an der /robots.txt oder sitemap.xml die sowas gerne preisgibt.

oder '

Freunde/Bekannte etc haben auf dieser Seite schonmal eingekauft und wissen wie dies aussieht.

0x03:Anwendung

Was würden wir wohl erreichen wollen ?
Natürlich , ware bestellen ohne zu zahlen!

Wir versuchen von dem Punkt der richtigen 'Anmeldung' auf den Punkt 'bestellungerfolgreichbeendet' per URL eingabe zu Springen , "schwerstenfalls müssen wir dafür einen Cookie faken" , ansonsten wenn wir Glück haben gelingt uns ein bypass und der Server erkennt nicht das wir noch keine Zahlung eingereicht haben so ist dies unser Glück.

Das typische beispiel findet ihr in der Tauschbörse wo Suicide per URL Jumping an Bilder/Videos durch pure URL Manipulation/Springens gekommen ist.

Bei mir hat es einmal in einem mir bekannten Shop geklappt , wo ich eine Uhr bestellt habe. ( Die Zahlung habe ich nachgereicht , aber nur die Anblick der Vulnerable war schon super ;) )

Ich  hoffe ihr konntet ein wenig daraus schlau werden, es werden wieder neue Tutorials folgen ;)

Bis dahin 

Hade
Güle Güle
Auf Wiedersehen usw.

trisn