Stealing Sensitive Information Disclosure from a Web

从零开始学习AWS黑客攻击直到成为专家 htARTE (HackTricks AWS Red Team Expert)！

支持HackTricks的其他方式：

如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF版本，请查看订阅计划！
获取官方的PEASS & HackTricks商品
发现PEASS家族，我们独家的NFTs系列
加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。**

如果你在某个时刻发现一个基于你的会话向你展示敏感信息的网页：可能它在反映cookies，或打印信用卡细节或任何其他敏感信息，你可能会尝试窃取它。这里我向你介绍主要的方法来尝试实现它：

CORS绕过：如果你能绕过CORS头，你将能够通过恶意页面执行Ajax请求来窃取信息。
XSS：如果你在页面上发现了XSS漏洞，你可能能够利用它来窃取信息。
悬空标记：如果你不能注入XSS标签，你仍然可能使用其他常规HTML标签来窃取信息。
点击劫持：如果没有防护措施，你可能能够诱导用户向你发送敏感数据（一个例子这里）。

从零开始学习AWS黑客攻击直到成为专家 htARTE (HackTricks AWS Red Team Expert)！

支持HackTricks的其他方式：

如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF版本，请查看订阅计划！
获取官方的PEASS & HackTricks商品
发现PEASS家族，我们独家的NFTs系列
加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。**

上一页Online Platforms with API 下一页Post Exploitation

最后更新于4个月前