其他分享
首页 > 其他分享> > 通过 HTML 注入接管帐户

通过 HTML 注入接管帐户

作者:互联网

通过 HTML 注入接管帐户

各位读者好!

今天我将与大家分享一个名为 HTML 注入的 Web 应用程序漏洞。

Photo by 弗洛里安橄榄 on 不飞溅

根据目标网站的COB,我不能透露组织的名称,也不能透露奖励的赏金。

目标具有从用户收集表单的功能。有一个名为“NOTE”的字段,我们可以在其中输入数字、字母和特殊字符。

但是,如果我们在字段中输入代码并提交表单怎么办?

因此,我尝试将 html 代码注入其中。

使用的有效载荷: ** **

目标的行为没有任何变化。

Photo by 马修·亨利 on 不飞溅

这是否意味着该网站不受 html 代码的影响?

我没有放弃一次尝试,而是尝试在有效负载中添加额外的打开标签。

开发的有效载荷: ** **

令我惊讶的是,html 代码被执行并且页面被重定向到输入的攻击者 URL。

风险影响:

如果攻击者成功克隆了目标的登录页面,并将 URL 添加到有效负载中,则用户可能会在访问受影响的目标 URL 时被欺骗,将其登录凭据输入到攻击者的 URL 中,假设他们已被意外登录。

希望你们觉得这很有用。谢谢你的阅读。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明

本文链接:https://www.qanswer.top/24418/21071008

标签:帐户,URL,代码,接管,html,HTML,攻击者,输入
来源: https://www.cnblogs.com/amboke/p/16675950.html