Stealing Sensitive Information Disclosure from a Web
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
如果你在某个时刻发现一个根据你的会话呈现敏感信息的网页:也许它正在反射 cookies,或者打印或 CC 详细信息或任何其他敏感信息,你可以尝试窃取它。 在这里,我向你介绍主要的几种尝试实现这一目标的方法:
CORS 绕过:如果你可以绕过 CORS 头,你将能够通过恶意页面执行 Ajax 请求来窃取信息。
XSS: 如果你在页面上发现 XSS 漏洞,你可能能够利用它来窃取信息。
悬挂标记: 如果你无法注入 XSS 标签,你仍然可以使用其他常规 HTML 标签来窃取信息。
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)