Stealing Sensitive Information Disclosure from a Web

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

もしあなたがセッションに基づいて機密情報を表示するウェブページを見つけた場合:おそらくクッキーを反映しているか、CCの詳細やその他の機密情報を印刷しているかもしれません。それを盗むことを試みることができます。 ここでは、達成するために試すことができる主な方法を示します:

  • CORSバイパス:CORSヘッダーをバイパスできれば、悪意のあるページに対してAjaxリクエストを実行することで情報を盗むことができます。

  • XSS:ページにXSSの脆弱性が見つかれば、それを悪用して情報を盗むことができるかもしれません。

  • ダンギングマークアップ:XSSタグを注入できない場合でも、他の通常のHTMLタグを使用して情報を盗むことができるかもしれません。

  • クリックジャッキング:この攻撃に対する保護がない場合、ユーザーを騙して機密データを送信させることができるかもしれません(例はこちら)。

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

Last updated