mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-25 06:00:40 +00:00
3.7 KiB
3.7 KiB
ウェブからの機密情報漏洩
{% hint style="success" %}
AWSハッキングの学習と練習:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングの学習と練習: HackTricks Training GCP Red Team Expert (GRTE)
HackTricksのサポート
- サブスクリプションプランをチェック!
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してハッキングテクニックを共有してください。
もし、セッションに基づいて機密情報を表示するウェブページを見つけた場合:おそらくクッキーを反映しているか、またはCC詳細やその他の機密情報を印刷しているかもしれませんが、それを盗むことができます。
ここでは、それを達成するために試みる主な方法を紹介します:
- CORSバイパス: CORSヘッダーをバイパスできれば、悪意のあるページにAjaxリクエストを実行して情報を盗むことができます。
- XSS: ページでXSS脆弱性を見つけた場合、それを悪用して情報を盗むことができるかもしれません。
- Danging Markup: XSSタグを挿入できない場合でも、他の通常のHTMLタグを使用して情報を盗むことができるかもしれません。
- Clickjaking: この攻撃に対する保護がない場合、ユーザーをだまして機密データを送信させることができるかもしれません(例はこちら)。
{% hint style="success" %}
AWSハッキングの学習と練習:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングの学習と練習: HackTricks Training GCP Red Team Expert (GRTE)
HackTricksのサポート
- サブスクリプションプランをチェック!
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してハッキングテクニックを共有してください。