通过 HTML 注入接管帐户
通过 HTML 注入接管帐户
各位读者好!
今天我将与大家分享一个名为 HTML 注入的 Web 应用程序漏洞。
根据目标网站的COB,我不能透露组织的名称,也不能透露奖励的赏金。
目标具有从用户收集表单的功能。有一个名为“NOTE”的字段,我们可以在其中输入数字、字母和特殊字符。
但是,如果我们在字段中输入代码并提交表单怎么办?
因此,我尝试将 html 代码注入其中。
使用的有效载荷: ** **
目标的行为没有任何变化。
这是否意味着该网站不受 html 代码的影响?
我没有放弃一次尝试,而是尝试在有效负载中添加额外的打开标签。
开发的有效载荷: ** **
令我惊讶的是,html 代码被执行并且页面被重定向到输入的攻击者 URL。
风险影响:
如果攻击者成功克隆了目标的登录页面,并将 URL 添加到有效负载中,则用户可能会在访问受影响的目标 URL 时被欺骗,将其登录凭据输入到攻击者的 URL 中,假设他们已被意外登录。
希望你们觉得这很有用。谢谢你的阅读。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明
