Stealing Sensitive Information Disclosure from a Web
Last updated
Last updated
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
어떤 시점에 세션에 따라 민감한 정보를 표시하는 웹 페이지를 발견하면: 쿠키를 반영하거나, CC 세부정보를 인쇄하거나, 기타 민감한 정보를 표시할 수 있습니다. 이를 도용해 보세요. 여기서 이를 달성하기 위해 시도할 수 있는 주요 방법을 소개합니다:
CORS 우회: CORS 헤더를 우회할 수 있다면 악성 페이지에 대한 Ajax 요청을 수행하여 정보를 도용할 수 있습니다.
XSS: 페이지에서 XSS 취약점을 발견하면 이를 악용하여 정보를 도용할 수 있습니다.
Danging Markup: XSS 태그를 주입할 수 없다면 다른 일반 HTML 태그를 사용하여 정보를 도용할 수 있습니다.
Clickjaking: 이 공격에 대한 보호가 없다면 사용자를 속여 민감한 데이터를 보내도록 할 수 있습니다 (예시 여기).
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
