mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-04 02:20:20 +00:00
3.2 KiB
3.2 KiB
从网页中窃取敏感信息泄露
从零开始学习AWS黑客攻击直到成为专家 htARTE (HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
- 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF版本,请查看订阅计划!
- 获取官方的PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。**
如果你在某个时刻发现一个基于你的会话向你展示敏感信息的网页:可能它在反映cookies,或打印信用卡细节或任何其他敏感信息,你可能会尝试窃取它。
这里我向你介绍主要的方法来尝试实现它:
- CORS绕过:如果你能绕过CORS头,你将能够通过恶意页面执行Ajax请求来窃取信息。
- XSS:如果你在页面上发现了XSS漏洞,你可能能够利用它来窃取信息。
- 悬空标记:如果你不能注入XSS标签,你仍然可能使用其他常规HTML标签来窃取信息。
- 点击劫持:如果没有防护措施,你可能能够诱导用户向你发送敏感数据(一个例子这里)。
从零开始学习AWS黑客攻击直到成为专家 htARTE (HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
- 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF版本,请查看订阅计划!
- 获取官方的PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。**