mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-25 12:33:39 +00:00
3.5 KiB
3.5 KiB
Stealing Sensitive Information Disclosure from a Web
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o merchandising oficial do PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo 💬 Discord ou ao grupo do telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do HackTricks e HackTricks Cloud.
Se em algum momento você encontrar uma página web que apresenta informações sensíveis baseadas na sua sessão: Talvez esteja refletindo cookies, ou imprimindo detalhes do CC ou qualquer outra informação sensível, você pode tentar roubá-la.
Aqui apresento as principais maneiras de tentar alcançá-lo:
- CORS bypass: Se você conseguir contornar os cabeçalhos CORS, poderá roubar as informações realizando uma solicitação Ajax de uma página maliciosa.
- XSS: Se você encontrar uma vulnerabilidade XSS na página, poderá abusar dela para roubar as informações.
- Danging Markup: Se você não pode injetar tags XSS, ainda pode ser capaz de roubar as informações usando outras tags HTML regulares.
- Clickjaking: Se não houver proteção contra esse ataque, você pode ser capaz de enganar o usuário para enviar-lhe os dados sensíveis (um exemplo aqui).
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o merchandising oficial do PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo 💬 Discord ou ao grupo do telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do HackTricks e HackTricks Cloud.