Stealing Sensitive Information Disclosure from a Web
もし、あなたのセッションに基づいて機密情報を提示するウェブページを見つけた場合:クッキーを反映しているか、またはCCの詳細やその他の機密情報を印刷しているかもしれませんが、その情報を盗むことができるかもしれません。 ここでは、それを達成しようとする主な方法を紹介します:
CORSバイパス: CORSヘッダーをバイパスできる場合、悪意のあるページからAjaxリクエストを実行して情報を盗むことができます。
XSS: ページにXSSの脆弱性が見つかった場合、それを悪用して情報を盗むことができるかもしれません。
Danging Markup: XSSタグを注入できない場合でも、他の通常のHTMLタグを使用して情報を盗むことができるかもしれません。
Clickjaking: この攻撃に対する保護がない場合、ユーザーをだまして機密データを送信させることができるかもしれません(こちらの例)。
Last updated