Stealing Sensitive Information Disclosure from a Web
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ako u nekom trenutku pronađete vеб stranicu koja vam prikazuje osetljive informacije na osnovu vaše sesije: Možda odražava kolačiće, ili štampa ili CC detalje ili bilo koje druge osetljive informacije, možete pokušati da ih ukradete. Ovde vam predstavljam glavne načine na koje možete pokušati da to postignete:
CORS zaobilaženje: Ako možete da zaobiđete CORS zaglavlja, moći ćete da ukradete informacije izvršavajući Ajax zahtev za zloćudnu stranicu.
XSS: Ako pronađete XSS ranjivost na stranici, možda ćete moći da je iskoristite da ukradete informacije.
Danging Markup: Ako ne možete da injektujete XSS oznake, i dalje možete da ukradete informacije koristeći druge regularne HTML oznake.
Clickjaking: Ako ne postoji zaštita protiv ovog napada, možda ćete moći da prevarite korisnika da vam pošalje osetljive podatke (primer ovde).
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)