html injection

pytanie zadane 19 marca 2023 w Bezpieczeństwo, hacking przez s1m1nv1k Początkujący (270 p.)

Cześć, mam takie pytanko, powiedzmy że na stronie z wykupioną domeną i hostingiem np. http://www.exampleweb.com znajduję się najprostszy formularz podatny na wstrzyknięcię kodu html. Jeśli wstrzyknę cos w rodzaju,

<h1>test</h1>

to czy wstrzyknięty kod będzie widoczny dla innych użytkowników strony? Jeśli moje pytanie jest głupie albo coś to przepraszam ale uczę się na bwappie i nie za bardzo rozumiem jak taki typ ataku działa w praktyce.

1 odpowiedź

odpowiedź 19 marca 2023 przez Wiciorny Ekspert (269,590 p.)
wybrane 19 marca 2023 przez s1m1nv1k

Najlepsza

Jeśli formularz jest podatny, to masz odp. że tak będzie to problem. Natomiast podatny formularz na html/js/logging sql itd injection to jest po prostu błędnie zaimplementowany mechanizm obsługi formularza.
Tez nie rozumiem, co masz na myśli widoczny "dla innych użytkowników".

Zależy jaki to formularz, gdzie wysyła dane, gdzie one są zapisywane, jak są prezentowane, bo jeśli formularz jest elementem który potem wyświetla się w pewnych sekcjach na stronie, to dobrze sprawdzony "html" inject może spowodować nie co posypanie się "layoutu" sekcji, strony itd. też jeśli jest możliwy html, to prawdopodobnie scrypt mozna również wykonywać, a to jest niebezpieczne.
W skrócie:
Twoje pytanie nie jest głupie, bo W przypadku, gdy na stronie znajduje się formularz podatny na wstrzyknięcie kodu HTML, a Ty wprowadzisz tam kod HTML (lub inny kod, np. JavaScript), to taki kod może zostać wykonany w przeglądarce użytkowników strony, którzy będą mieli dostęp do przesłanego przez Ciebie kodu.
Oczywiście, taki atak nie ma zbyt dużego znaczenia w przypadku wstrzyknięcia jedynie takiego kodu, ale w przypadku bardziej zaawansowanych ataków typu XSS (Cross-Site Scripting), może to prowadzić do poważnych problemów bezpieczeństwa, np. kradzieży danych logowania użytkowników lub przejęcia kontroli nad ich kontami.