Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

HTML Injection

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Tempo
  • Show
Clear All
new posts
Anterior template Avançar
  • Font Size
    #1

    Matéria HTML Injection

    HTML Injection


    Injeção de HTML é uma vulnerabilidade que ocorre em aplicações web que permite aos usuários inserir o código html através de um parâmetro específico, por exemplo, ou um ponto de entrada. Este tipo de ataque pode ser usado em combinação com algum tipo de engenharia social para enganar os usuários válidos do aplicativo para abrir sites maliciosos ou para inserir suas credenciais em um formulário de login falso que ele irá redirecionar os usuários para uma página que captura os cookies e credenciais. Neste tutorial vamos ver como podemos explorar essa vulnerabilidade efetivamente, uma vez que é descoberto. Para as necessidades do artigo a Mutillidae será usada como a aplicação vulnerável.

    Digamos que temos uma página com o seguinte:



    Claro que, neste exemplo, não existe uma indicação de que está a aceitar esta forma etiquetas HTML como é parte da funcionalidade da aplicação. Um invasor mal-intencionado vai pensar que ele pode explorar os usuários deste aplicativo se ele montou uma página que está capturando seus cookies e credenciais em seu servidor. Se ele tem essa página, então ele pode enganar os usuários insiram suas credenciais por injetar na página vulnerável um formulário de login em HTML falso. Mutillidae já tem uma página de dados capturados por isso estamos indo para usar esta página para o nosso tutorial.



    Agora podemos injetar código HTML que fará com que a aplicação para carregar um formulário de login falso.



    A imagem ao lado está mostrando o formulário de login falso:



    Todo usuário que vai entrar suas credenciais será redirecionado para outra página onde suas credenciais serão armazenadas. Neste caso, as credenciais podem ser encontradas na página de captura de dados e podemos vê-los abaixo:



    conclusão

    Como vimos neste artigo vulnerabilidades de injeção HTML são muito fáceis de explorar e pode ter grande impacto como qualquer usuário do aplicativo web pode ser um alvo. Administradores de sistema devem tomar medidas apropriadas para suas aplicações web, a fim de evitar este tipo de ataques.

    Fonte: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    Tags: Nenhum(a)
    • Top
Anterior template Avançar
X
Working...
X