hacktricks/stealing-sensitive-information-disclosure-from-a-web.md

从网络中窃取敏感信息泄露

{% hint style="success" %} 学习并实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE)
学习并实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

• 查看订阅计划!
• 加入 💬 Discord 群组 或 电报群组 或 关注我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

{% endhint %}

如果你在某个时刻发现一个网页根据你的会话呈现敏感信息：也许它反射了 cookie，或打印了信用卡详细信息或其他敏感信息，你可以尝试窃取它。
这里我向你介绍了主要的尝试方法：

• CORS 绕过：如果你可以绕过 CORS 头，你将能够通过对恶意页面执行 Ajax 请求来窃取信息。
• XSS：如果你在页面上发现了 XSS 漏洞，你可能可以滥用它来窃取信息。
• 悬挂标记：如果你无法注入 XSS 标签，你仍然可以使用其他常规 HTML 标签来窃取信息。
• Clickjaking：如果没有防护措施防止这种攻击，你可能可以欺骗用户发送给你敏感数据（一个示例在这里）。

{% hint style="success" %} 学习并实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE)
学习并实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

• 查看订阅计划!
• 加入 💬 Discord 群组 或 电报群组 或 关注我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

{% endhint %}