标签:帐户 URL 代码 接管 html HTML 攻击者 输入
通过 HTML 注入接管帐户
各位读者好!
今天我将与大家分享一个名为 HTML 注入的 Web 应用程序漏洞。
根据目标网站的COB,我不能透露组织的名称,也不能透露奖励的赏金。
目标具有从用户收集表单的功能。有一个名为“NOTE”的字段,我们可以在其中输入数字、字母和特殊字符。
但是,如果我们在字段中输入代码并提交表单怎么办?
因此,我尝试将 html 代码注入其中。
使用的有效载荷: ** **
目标的行为没有任何变化。
这是否意味着该网站不受 html 代码的影响?
我没有放弃一次尝试,而是尝试在有效负载中添加额外的打开标签。
开发的有效载荷: ** **
令我惊讶的是,html 代码被执行并且页面被重定向到输入的攻击者 URL。
风险影响:
如果攻击者成功克隆了目标的登录页面,并将 URL 添加到有效负载中,则用户可能会在访问受影响的目标 URL 时被欺骗,将其登录凭据输入到攻击者的 URL 中,假设他们已被意外登录。
希望你们觉得这很有用。谢谢你的阅读。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明
本文链接:https://www.qanswer.top/24418/21071008
标签:帐户,URL,代码,接管,html,HTML,攻击者,输入 来源: https://www.cnblogs.com/amboke/p/16675950.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。