hacktricks/stealing-sensitive-information-disclosure-from-a-web.md

ウェブからの機密情報漏洩の窃取

htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでAWSハッキングを学ぶ htARTE (HackTricks AWS Red Team Expert)！

HackTricksをサポートする他の方法:

• HackTricksであなたの会社を宣伝したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
• 公式PEASS & HackTricksグッズを入手する
• The PEASS Familyを発見する、私たちの独占的なNFTsのコレクション
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する。

もし、あなたのセッションに基づいて機密情報を提示するウェブページを見つけた場合：クッキーを反映しているか、またはCCの詳細やその他の機密情報を印刷しているかもしれませんが、その情報を盗むことができるかもしれません。
ここでは、それを達成しようとする主な方法を紹介します：

• CORSバイパス: CORSヘッダーをバイパスできる場合、悪意のあるページからAjaxリクエストを実行して情報を盗むことができます。
• XSS: ページにXSSの脆弱性が見つかった場合、それを悪用して情報を盗むことができるかもしれません。
• Danging Markup: XSSタグを注入できない場合でも、他の通常のHTMLタグを使用して情報を盗むことができるかもしれません。
• Clickjaking: この攻撃に対する保護がない場合、ユーザーをだまして機密データを送信させることができるかもしれません（こちらの例）。

htARTE (HackTricks AWS Red Team Expert)でゼロからヒーローまでAWSハッキングを学ぶ htARTE (HackTricks AWS Red Team Expert)！

HackTricksをサポートする他の方法:

• HackTricksであなたの会社を宣伝したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
• 公式PEASS & HackTricksグッズを入手する
• The PEASS Familyを発見する、私たちの独占的なNFTsのコレクション
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングのコツを共有する。