• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

html injection

Object Storage Arubacloud
0 głosów
235 wizyt
pytanie zadane 19 marca 2023 w Bezpieczeństwo, hacking przez s1m1nv1k Początkujący (270 p.)

Cześć, mam takie pytanko, powiedzmy że na stronie z wykupioną domeną i hostingiem np. http://www.exampleweb.com znajduję się najprostszy formularz podatny na wstrzyknięcię kodu html. Jeśli wstrzyknę cos w rodzaju,

<h1>test</h1>

to czy wstrzyknięty kod będzie widoczny dla innych użytkowników strony? Jeśli moje pytanie jest głupie albo coś to przepraszam ale uczę się na bwappie i nie za bardzo rozumiem jak taki typ ataku działa w praktyce.

1 odpowiedź

+1 głos
odpowiedź 19 marca 2023 przez Wiciorny Ekspert (269,710 p.)
wybrane 19 marca 2023 przez s1m1nv1k
 
Najlepsza

Jeśli formularz jest podatny, to masz odp. że tak będzie to problem. Natomiast podatny formularz na html/js/logging sql itd injection to jest po prostu błędnie zaimplementowany mechanizm obsługi formularza.
Tez nie rozumiem, co masz na myśli widoczny "dla innych użytkowników".

Zależy jaki to formularz, gdzie wysyła dane, gdzie one są zapisywane, jak są prezentowane, bo jeśli formularz jest elementem który potem wyświetla się w pewnych sekcjach na stronie, to dobrze sprawdzony "html" inject może spowodować nie co posypanie się "layoutu" sekcji, strony itd. też jeśli jest możliwy html, to prawdopodobnie scrypt mozna również wykonywać, a to jest niebezpieczne.
W skrócie: 
Twoje pytanie nie jest głupie, bo W przypadku, gdy na stronie znajduje się formularz podatny na wstrzyknięcie kodu HTML, a Ty wprowadzisz tam kod HTML (lub inny kod, np. JavaScript), to taki kod może zostać wykonany w przeglądarce użytkowników strony, którzy będą mieli dostęp do przesłanego przez Ciebie kodu.
 Oczywiście, taki atak nie ma zbyt dużego znaczenia w przypadku wstrzyknięcia jedynie takiego kodu, ale w przypadku bardziej zaawansowanych ataków typu XSS (Cross-Site Scripting), może to prowadzić do poważnych problemów bezpieczeństwa, np. kradzieży danych logowania użytkowników lub przejęcia kontroli nad ich kontami.

komentarz 19 marca 2023 przez s1m1nv1k Początkujący (270 p.)

chodzi mi o to czy ten przykładowy nagłówek

<h1>test</h1>

po wstrzyknięciu będzię widoczny na tej przykładowej stronie dla innych odwiedzjących tą strone

komentarz 19 marca 2023 przez Wiciorny Ekspert (269,710 p.)
tak, jeśli formularz jest podatny, ale tez nie wiadomo gdzie te dane są wysyłane więc  to zależy :)

Podobne pytania

+2 głosów
3 odpowiedzi 276 wizyt
0 głosów
4 odpowiedzi 527 wizyt
+1 głos
1 odpowiedź 238 wizyt

92,555 zapytań

141,403 odpowiedzi

319,557 komentarzy

61,940 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - jeżeli wpiszecie go w koszyku, to wówczas otrzymacie 40% zniżki na bilet w wersji standard!

Więcej informacji na temat imprezy znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...