Stealing Sensitive Information Disclosure from a Web
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wenn du irgendwann eine Webseite findest, die dir sensible Informationen basierend auf deiner Sitzung präsentiert: Vielleicht spiegelt sie Cookies wider, oder druckt Kreditkarteninformationen oder andere sensible Daten aus, dann könntest du versuchen, sie zu stehlen. Hier präsentiere ich dir die Hauptwege, wie du versuchen kannst, dies zu erreichen:
CORS-Bypass: Wenn du CORS-Header umgehen kannst, wirst du in der Lage sein, die Informationen durch eine Ajax-Anfrage an eine bösartige Seite zu stehlen.
XSS: Wenn du eine XSS-Sicherheitsanfälligkeit auf der Seite findest, könntest du sie ausnutzen, um die Informationen zu stehlen.
Dangling Markup: Wenn du keine XSS-Tags injizieren kannst, könntest du dennoch in der Lage sein, die Informationen mit anderen regulären HTML-Tags zu stehlen.
Clickjacking: Wenn es keinen Schutz gegen diesen Angriff gibt, könntest du den Benutzer dazu bringen, dir die sensiblen Daten zu senden (ein Beispiel hier).
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)