hacktricks/stealing-sensitive-information-disclosure-from-a-web.md

从网页中窃取敏感信息披露

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一个网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想要获取PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群组 或 Telegram群组 或 关注我在Twitter上的🐦@carlospolopm.
• 通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享你的黑客技巧。

如果你在某个时刻发现一个网页根据你的会话显示敏感信息：也许它反射了cookie，或者打印了信用卡详细信息或其他敏感信息，你可以尝试窃取它。
这里我向你介绍了几种主要的方法来尝试实现：

• CORS绕过：如果你可以绕过CORS头，你就可以通过对恶意页面进行Ajax请求来窃取信息。
• XSS：如果你在页面上发现了XSS漏洞，你可以利用它来窃取信息。
• 悬挂标记：如果你无法注入XSS标签，你仍然可以使用其他常规HTML标签来窃取信息。
• 点击劫持：如果没有对这种攻击进行保护，你可能会成功诱使用户向你发送敏感数据（一个例子在这里）。

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一个网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想要获取PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群组 或 Telegram群组 或 关注我在Twitter上的🐦@carlospolopm.
• 通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享你的黑客技巧。