Stealing Sensitive Information Disclosure from a Web
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
As jy op 'n stadium 'n webbladsy vind wat jou sensitiewe inligting op grond van jou sessie aanbied: Miskien reflekteer dit koekies, of druk of CC besonderhede of enige ander sensitiewe inligting, kan jy probeer om dit te steel. Hier is die hoofmaniere wat jy kan probeer om dit te bereik:
CORS bypass: As jy CORS headers kan omseil, sal jy in staat wees om die inligting te steel deur 'n Ajax versoek vir 'n kwaadwillige bladsy uit te voer.
XSS: As jy 'n XSS kwesbaarheid op die bladsy vind, mag jy dit kan misbruik om die inligting te steel.
Danging Markup: As jy nie XSS etikette kan inspuit nie, mag jy steeds in staat wees om die inligting te steel deur ander gewone HTML etikette te gebruik.
Clickjaking: As daar geen beskerming teen hierdie aanval is nie, mag jy die gebruiker kan mislei om jou die sensitiewe data te stuur (een voorbeeld hier).
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)