Hello there, ('ω')ノ
メールへの HTML インジェクションを。
脆弱性:
HTMLインジェクション
記事:
序章 :
今回は、バグ報奨金プログラムの電子メールで HTML インジェクションを。
見つけた方法について。
まず、ターゲットの example.com を呼ぶことに。
HTML インジェクションとは、クロス サイト スクリプティングとも呼ばれて。
1.HTML インジェクションは、他のユーザが閲覧している Web ページに。
攻撃者が HTML コードを挿入できるセキュリティ上の脆弱性で。
2.HTML インジェクションは、アプリケーションがユーザ入力を受け取り。
その入力を HTML に埋め込む脆弱性で。
悪意のあるユーザは、ユーザ入力を介して HTML を挿入し。
アプリケーションによって生成される HTML 全体に悪意のある HTML を。
埋め込むことができて。
再現する手順 :
1.https://www.example.com に移動して。
2.この Web サイトにフィードバックのポップアップが表示されて。
3.フォームに入力し、フィードバック列に HTML ペイロードを入力し。
被害者の電子メールを入力して「送信」ボタンをクリックして。
ペイロード:
<img src=”https://static.wikia.nocookie.net/mrbean/images/4/4b/Mr_beans_holiday_ver2.jpg">
4.メールの受信トレイを確認すると、HTML タグが実行されて。
深刻な脆弱性:
他のユーザの悪用
汚染
フィッシング
影響 :
HTML インジェクション、フィッシング攻撃 この脆弱性により。
Mobile Vikings の公式メール アドレスからのメールが再フォーマット/編集され。
標的型フィッシング攻撃に使用される可能性があり。
おそらく、この種の脆弱性を利用した攻撃者で。
18 枚以上の画像を送信する可能性は非常に高くなり。
会社名に関する誤解は、人々に影響を与える可能性があって。
解決策:
入力のサニタイズと検証は、通常、防御の最初のレイヤーで。
サニタイズは、ユーザ入力から安全でない文字を削除することで構成され。
検証により、データが期待される形式とタイプであるかどうかがチェックされて。
Best regards, (^^ゞ
