# SS-Leaks
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras formas de apoiar o HackTricks: * Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
Isto é uma **mistura** entre **dangling markup e XS-Leaks**. De um lado, a vulnerabilidade permite **injetar HTML** (mas não JS) em uma página da **mesma origem** daquela que estaremos atacando. Por outro lado, não vamos **atacar** diretamente a página onde podemos injetar HTML, mas **outra página**. ## Objetos Aninhados Se o endpoint `/api/v1/leaky?secret=a` retornar um código de status 404, então o `object` interno é carregado, dando um callback para `https://evil.com?callback=a` e nos informando que a consulta de pesquisa `a` não gerou resultados. ```html ``` ### Carregamento Preguiçoso E se o CSP bloquear objetos externos? Vamos tentar novamente com o seguinte CSP: `Content-Security-Policy: default-src 'self'; img-src *;` Nosso `object` de retorno de chamada acima já não funciona. Em seu lugar, podemos usar o carregamento preguiçoso de imagens [lazy loading](https://developer.mozilla.org/en-US/docs/Web/Performance/Lazy\_loading)! A seguinte imagem só será carregada quando estiver visível e a uma certa distância da área de visualização. ```html ``` ### Imagens Responsivas A técnica acima é ótima, mas depende da nossa injeção de HTML estar dentro do campo de visão do usuário. Se a injeção estiver fora da tela e o usuário não rolar a página, ainda podemos vazar dados? Claro, podemos usar IDs de elementos e [scroll-to-text-fragment](https://chromestatus.com/feature/4733392803332096) para criar uma URL que force a rolagem, mas esses dependem da interação do usuário e não nos permitem alcançar vazamentos consistentes em um cenário real. Idealmente, queremos instrumentalizar a injeção de HTML armazenada de maneira confiável. Entrem as imagens responsivas! Especificamente, os atributos `srcset` e `sizes` das imagens. {% code overflow="wrap" %} ```html