Web渗透(二)HTML注入知识整理

最新推荐文章于 2024-07-13 10:45:47 发布
最新推荐文章于 2024-07-13 10:45:47 发布
阅读量6k 收藏 9
点赞数 3
分类专栏: 注入类漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39157582/article/details/108157825
版权
HTML注入是通过网站未正确处理用户输入导致的攻击,可改变页面内容或欺骗用户。注入类型包括存储型和反射型。危害包括损害网页信誉、窃取用户数据、窃取反CSRF令牌等。修复措施包括过滤或转义HTML输入,采用白名单过滤。
摘要由CSDN通过智能技术生成

HTML注入知识整理

1、什么是HTML注入

HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。

由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们基本上可以改变浏览器呈现的内容。有时,这可能会导致页面外观的完全改变,或在其他情况下,创建表单来欺骗用户。例如,如果你可以注入HTML,你也许能够将< form >标签添加到页面,要求用户重新输入他们的用户名和密码。然而,当提交此表单时,它实际上将信息发送给了攻击者。

如下图所示:
在这里插入图片描述HTML注入攻击一般有两种目的:

  • 更改显示的网站的外观
  • 窃取他人的身份

2、HTML注入类型

现在习惯上将HTML分为两类:

  • 存储型HTML注入
  • 反射型HTML注入

(1) 存储型HTML注入

存储型HTML注入攻击会将恶意HTML代码存储在Web服务器上,并且每次用户调用适当的功能时都会执行。

(2) 反射型HTML注入

反射型HTML注入攻击,恶意HTML代码

最低0.47元/天 解锁文章
三体-二向箔
关注
专栏目录
HTML注入的一种攻击思路(超链接替换为点击验证,现在常见)
墨痕诉清风的博客
03-08 932
当然以上情况都是建立在可以插入 HTML 标签,且两个可控点之间的 HTML 包含敏感信息且没有单引号(或双引号)阻断。其实如果可控点只有一个的话,那就需要找找页面里面有没有 '> 或者 "> ,这样就可以只用一个点来触发。最后我总结出几种利用的 payload 供参考学习。
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
杨秀璋的专栏
03-05 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识和DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,并编写漏洞利用脚本并实现自动化攻击。本文将分析i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点,非常适合初学者学习,希望对您有所帮助~
Web渗透(三)bWAPP之HTML注入
weixin_39157582的博客
01-28 2224
0x01:什么是HTML注入HTML注入(Hypertext Markup Language Injection)中文意思是“超文本标记性语言注入”,众所周知HTML含有各种标签,如果Web应用程序对用户输入的数据没进行彻底的处理的话,那么一些非法用户提交的数据可能含有HTML其他标签,而这些数据又恰好被服务器当作正常的HTML标签显示,那么最终的结果是非法标签被解析(可以应用于钓鱼、社...
【全网最全】Web安全渗透详细教程2024年最新版+学习线路+资料分享
最新发布
wly55690的博客
07-13 643
Web安全是指保护Web应用程序和Web服务器免受恶意攻击和未经授权访问的一系列技术、措施和最佳实践。Web安全是确保Web应用程序和Web服务器能够正常运行、保持数据完整性、保护用户隐私和信息安全的重要方面。认证和授权:确保只有授权用户能够访问应用程序和资源,并根据用户角色分配不同的权限。输入验证和过滤:确保所有的输入都是合法的,并防止用户输入包含恶意代码的数据。数据保护:加密存储和传输数据,保护数据隐私。防止跨站点脚本攻击(XSS):防止攻击者通过注入恶意脚本来篡改网页内容和窃取用户数据。
Web Hacking 101 中文版 五、HTML 注入
热门推荐
龙哥盟
03-17 4万+
五、HTML 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述超文本标记语言(HTML注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通常通过一些之后会呈现在页面的表单输入。 这个
HTML 注入
voctor2436的博客
05-05 667
XSS(Cross-site Scripting)中文翻译是“跨站脚本攻击”,XSS本质上是HTML注入攻击,但又不同于HTML注入,XSS利用脚本标记运行JavaScript等脚本程序,可以通过JavaScript获取机密数据和一些列危险操作,而HTML注入只是使用HTML标签修改页面内容。HTML注入是一种漏洞,一种网络攻击方式,当网页无法清理用户提供的输入或验证输出时,攻击者就可以伪造自己的有效负载,并通过易受攻击的字段将恶意HTML代码注入应用程序,从而修改网页内容,甚至获取一些敏感数据。
HTML注入
donghaima的专栏
04-02 1634
默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留字符.这可以防止用户向程序中输入脚本.请求验证会对照一个有潜在威胁的字符串列表进行匹配,如果发现异常它会抛出一个HttpRequestValidationException类型的异常.你可以在你的web.config文件中的元素中加入validateRequest="false" 或在单独的页面的@
html注入
公众号shadow sock7
06-10 2116
跨站脚本攻击(XSS)可以更概括地描述为 HTML 注入。XSS 这个更为流行的名字掩盖 了如下事实:成功的攻击不需要跨站点或跨域,而且并非必须由 JavaScript 组成。
web安全详解(渗透测试基础)
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
【安全测试工程师】超实用的Web渗透测试学习路线~
weixin_44433834的博客
08-02 3281
前言 本文整理的学习路线,清晰明了,重点分明,能快速上手实践,相信想学的同学们都能轻松学完。都是干货啦,先收藏⭐再看吧。本文偏基础能让萌新们快速摸到***测试的门道,少走弯路,也能让正在学习的小伙伴们查漏补缺,也欢迎大佬们在评论区指正错误~ 先上脑图 其实安全测试需要的知识面是非常广的,但跟着教程有重点地学习还是能很快理清思路上手测试的,后续可以自己深入研究,吃透这些领域的知识。 首先我们要了解什么是***测试。 我们知道业务功能、逻辑的测试有黑盒测试和白盒测试,前者把程序看作一个不能打开的黑盒子,在完
Inject:从外部来源将html注入您的网站-html source website
03-24
Inject.js 它是什么? 一个javascript文件,它将从其他网页提取html,并将该html注入到您的文档中,类似于iframe。 我什么时候使用这个? 如果您想控制要导入到网页中的html,则iframe不能与父级CSS和javascript很好地配合使用。 例如,您可以使用自己的javascript或css来定位注入html,否则,如果您无法访问所请求的html的源,则很难做到这一点。 评论 在,inject使用来获取请求页面的html,从源中删除任何样式或脚本标签,然后再注入到您的页面中。 这意味着调用者有责任为页面的布局添加css等(如果需要)。 与任何了。 使用Yahoo!规避了同源政策。 作为代理,因此您可以做的比AJAX多,并且通过扩展受到额外的安全限制。 给我看看代码! < div data-inject-src =" {example.com} " s
web渗透测试整理1(跨站脚本)
qq_40334963的博客
08-08 1307
跨站脚本构建模块 1.http://xxx/poll_skimcx.jsp?pollId=425?view=yes&aid=10483&mid=1 8.www.xxx/item/p/item.html?type="> 源码效果 9.www.0832xh.com/cmd.asp?act=gettburl&id=18"> 源码效果: 10.https://www.c...
注入攻击()--------HTML(有源码)
Young12138的博客
05-10 1587
html注入攻击
html注入的入门教程
weixin_34364071的博客
07-08 391
HTML injection的背景: 1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢? 2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么? 什么是HTML injection: 有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML...
bWAPP HTML Injection (HTML注入)
angry_program的博客
02-24 1755
前言 bwapp靶场每一种类型都分为3种等级: Low, Medium, High 这边我就按照类型归类写, 方便查阅。 话不多说, 直接lu靶场 0x01 HTML injection Reflected GET 分析网站: Low Low等级没有任何防护, 直接注入即可: Medium 在Medium等级中, 继续进行注入的话, 会发现&lt...
html注入脚本攻击,XSS 攻击、CSRF 攻击、SQL 注入脚本、流量劫持(DNS 劫持、HTTP 劫持)—— 浏览器安全...
weixin_35801512的博客
06-17 445
XSS攻击XSS(Cross Site Script)跨站脚本攻击,指的是向网页注入恶意代码,并对网页进行篡改。在用户浏览时,从而获取用户隐私数据的一种攻击方式。一般为 JavaScript 。窃取 Cookie 信息,模拟用户进行登录,然后进行转账等操作使用 addEventListener 监听用户行为,监听键盘事件,窃取用户的银行卡密码等。并发送到攻击者的服务器通过修改 DOM 伪造假的登录...
web渗透--55--HTML注入
武天旭的博客
09-23 3013
1、漏洞描述 HTML注入注入问题的一种类型,它发生在当用户可以控制输入点,并且能够注入任意HTML代码到有漏洞的web页面时。 这个漏洞会造成很多影响,比如用户会话cookie公开,可以被用于冒充受害者,也可以使得让攻击者修改它看到的受害者的页面内容。 当用户输入未经过正确的过滤以及输出没有经过编码的情况下,漏洞就会发生。注入允许攻击者发送恶意HTML页面给受害者。目标浏览器无法区分和信任合法代码的恶意部分,并在受害者背景下解析和执行所有的合法代码。
html页面注入教程,html注入的入门教程
weixin_35941591的博客
06-03 1561
HTML injection的背景:1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢?2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么?什么是HTML injection:有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些javascrip...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值