通过 HTML 注入接管帐户

通过 HTML 注入接管帐户

各位读者好！

今天我将与大家分享一个名为 HTML 注入的 Web 应用程序漏洞。

Photo by 弗洛里安橄榄 on 不飞溅

根据目标网站的COB，我不能透露组织的名称，也不能透露奖励的赏金。

目标具有从用户收集表单的功能。有一个名为“NOTE”的字段，我们可以在其中输入数字、字母和特殊字符。

但是，如果我们在字段中输入代码并提交表单怎么办？

因此，我尝试将 html 代码注入其中。

使用的有效载荷： ** **

目标的行为没有任何变化。

Photo by 马修·亨利 on 不飞溅

这是否意味着该网站不受 html 代码的影响？

我没有放弃一次尝试，而是尝试在有效负载中添加额外的打开标签。

开发的有效载荷： ** **

令我惊讶的是，html 代码被执行并且页面被重定向到输入的攻击者 URL。

风险影响：

如果攻击者成功克隆了目标的登录页面，并将 URL 添加到有效负载中，则用户可能会在访问受影响的目标 URL 时被欺骗，将其登录凭据输入到攻击者的 URL 中，假设他们已被意外登录。

希望你们觉得这很有用。谢谢你的阅读。

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明

本文链接：https://www.qanswer.top/24418/21071008