HTML注入知识整理
1、什么是HTML注入
HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。
由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们基本上可以改变浏览器呈现的内容。有时,这可能会导致页面外观的完全改变,或在其他情况下,创建表单来欺骗用户。例如,如果你可以注入HTML,你也许能够将< form >标签添加到页面,要求用户重新输入他们的用户名和密码。然而,当提交此表单时,它实际上将信息发送给了攻击者。
如下图所示:
HTML注入攻击一般有两种目的:
- 更改显示的网站的外观
- 窃取他人的身份
2、HTML注入类型
现在习惯上将HTML分为两类:
- 存储型HTML注入
- 反射型HTML注入
(1) 存储型HTML注入
存储型HTML注入攻击会将恶意HTML代码存储在Web服务器上,并且每次用户调用适当的功能时都会执行。
(2) 反射型HTML注入
反射型HTML注入攻击,恶意HTML代码