Stealing Sensitive Information Disclosure from a Web
Eğer bir noktada oturumunuza dayalı hassas bilgileri sunan bir web sayfası bulursanız: Belki çerezleri yansıtıyordur, ya da CC detaylarını veya başka hassas bilgileri yazdırıyordur, bunu çalmaya çalışabilirsiniz. Bunu başarmak için deneyebileceğiniz ana yolları sunuyorum:
CORS bypass: CORS başlıklarını aşabilirseniz, kötü niyetli bir sayfa için Ajax isteği yaparak bilgileri çalabilirsiniz.
XSS: Sayfada bir XSS açığı bulursanız, bunu bilgileri çalmak için kötüye kullanabilirsiniz.
Danging Markup: XSS etiketlerini enjekte edemiyorsanız, yine de diğer normal HTML etiketlerini kullanarak bilgileri çalabilirsiniz.
Clickjaking: Bu saldırıya karşı bir koruma yoksa, kullanıcıyı hassas verileri göndermesi için kandırabilirsiniz (bir örnek burada).
Last updated