Hell there, ('ω')ノ
Insecure iFrame (Login Form)を。
ソースコードを確認するとiframeタグが。
URLは、異なるオリジンが指定されていて。
http://192.168.0.16/evil/sandbox.htm
Burpでも指摘が。
同じオリジンのページのみによるフレーミングを許可する必要があって。
信頼できないWebサイトをフレーム化できる場合は。
SAME ORIGINヘッダを部分的にバイパスできるので注意が必要で。
さらには、iframeではattacker.comにデータをPOSTするフォームが含まれていて。
POSTを使用して、機密情報を別のドメインに転送することがあって。
POSTされるサイトは下記のとおりで。
https://attacker.com/catch.php?
実際にログインしようとすると。
下記のように表示されて。
Best regards, (^^ゞ