HTML注入和XSS的原理类似,在某些无法执行javascript脚本的场景下使用一些简单的HTML标签同样可造成危害,下面总结几种场景和攻击思路。
一、从HTMLi到钓鱼攻击
1、 常规钓鱼
如图片上传的功能,上传后的img 标签的 src 属性若可控,或url地址填写处,iframe的src属性可控,则可编写一个带有误导性的HTML,诱骗被攻击者点击,从而跳转到钓鱼页面:
<img src=”https://attacker.com/hacker.jsp”><iframe src=”https://attacker.com/hacker.jsp”>
2、401 图片基础认证钓鱼
这个思路有点过时,由于img标签可以跨域,故可自建一个https服务,用来返回401认证响应头,通过弹钓鱼对话框来获取用户口令。