Stealing Sensitive Information Disclosure from a Web
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Si en algún momento encuentras una página web que te presenta información sensible basada en tu sesión: Tal vez esté reflejando cookies, o imprimiendo detalles de CC u otra información sensible, puedes intentar robarla. Aquí te presento las principales formas en que puedes intentar lograrlo:
CORS bypass: Si puedes eludir los encabezados CORS, podrás robar la información realizando una solicitud Ajax para una página maliciosa.
XSS: Si encuentras una vulnerabilidad XSS en la página, es posible que puedas abusar de ella para robar la información.
Danging Markup: Si no puedes inyectar etiquetas XSS, aún puedes robar la información utilizando otras etiquetas HTML regulares.
Clickjaking: Si no hay protección contra este ataque, es posible que puedas engañar al usuario para que te envíe los datos sensibles (un ejemplo aquí).
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)