Hello there, ('ω')ノ
電子メールの確認によるHTMLインジェクションで最も簡単に報奨金を。
脆弱性:
HTMLインジェクション
記事:
HTMLインジェクションは、クロスサイトスクリプティング(XSS)と。
非常によく似た攻撃ですが、XSSでは攻撃者はJavascriptコードを。
インジェクションして実行できますが、HTMLインジェクション攻撃では。
特定のHTMLタグのインジェクションのみが許可されて。
まず、サイトに「Shaurya」という名前で登録して。
苗字は「Sharma」で。
登録後、確認メールでアカウントを検証するように。
ユーザにメッセージが表示されて。
「Please Shaurya Sharma, validate your account through a link sent to xxxxx@mail [.] Com」
HTMLコード:
<h1> Email confirmation </h1>
<p> Hello Shaurya Sharma, here is the link to confirm your email.
http://xxxxxx.org.in/Login/id=8829234?q
</p>
サイトがユーザの名前をデータベースにHTMLとして記録していることに気付いて。
確認をリクエストすると、ユーザが挿入したHTMLによって。
システムから送信された元のメールが破損する可能性があるので。
HTMLインジェクションのテスト:
「”> <img src = (Link/Location) 」という名前の新しいアカウントを作成して。
苗字をtestとすると、サイトは下記の答えを返して。
“Please“> <img src =” https://i.redd.it/l1yy7vaasqv31.jpg “> test, validate your account using a link sent to xxxxxx@mail [.] Com ”
OUTPUT >
Hello,
, here is the link to confirm your email. http://xxxxxx.org.in/Login/id=8829234?q
これで、「名前」フィールドのテキストボックスに。
悪意のある入力コードを挿入でき、出力が確認メールに反映されて。
影響の例:
銀行システムでは、被害者のカードに関する情報を取得したり。
異常な支払いを要求したりするために使用できて。
Best regards, (^^ゞ
