• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

html injection

Aruba Cloud - Virtual Private Server VPS
0 głosów
367 wizyt
pytanie zadane 19 marca 2023 w Bezpieczeństwo, hacking przez s1m1nv1k Początkujący (270 p.)

Cześć, mam takie pytanko, powiedzmy że na stronie z wykupioną domeną i hostingiem np. http://www.exampleweb.com znajduję się najprostszy formularz podatny na wstrzyknięcię kodu html. Jeśli wstrzyknę cos w rodzaju,

<h1>test</h1>

to czy wstrzyknięty kod będzie widoczny dla innych użytkowników strony? Jeśli moje pytanie jest głupie albo coś to przepraszam ale uczę się na bwappie i nie za bardzo rozumiem jak taki typ ataku działa w praktyce.

1 odpowiedź

+1 głos
odpowiedź 19 marca 2023 przez Wiciorny Ekspert (280,450 p.)
wybrane 19 marca 2023 przez s1m1nv1k
 
Najlepsza

Jeśli formularz jest podatny, to masz odp. że tak będzie to problem. Natomiast podatny formularz na html/js/logging sql itd injection to jest po prostu błędnie zaimplementowany mechanizm obsługi formularza.
Tez nie rozumiem, co masz na myśli widoczny "dla innych użytkowników".

Zależy jaki to formularz, gdzie wysyła dane, gdzie one są zapisywane, jak są prezentowane, bo jeśli formularz jest elementem który potem wyświetla się w pewnych sekcjach na stronie, to dobrze sprawdzony "html" inject może spowodować nie co posypanie się "layoutu" sekcji, strony itd. też jeśli jest możliwy html, to prawdopodobnie scrypt mozna również wykonywać, a to jest niebezpieczne.
W skrócie: 
Twoje pytanie nie jest głupie, bo W przypadku, gdy na stronie znajduje się formularz podatny na wstrzyknięcie kodu HTML, a Ty wprowadzisz tam kod HTML (lub inny kod, np. JavaScript), to taki kod może zostać wykonany w przeglądarce użytkowników strony, którzy będą mieli dostęp do przesłanego przez Ciebie kodu.
 Oczywiście, taki atak nie ma zbyt dużego znaczenia w przypadku wstrzyknięcia jedynie takiego kodu, ale w przypadku bardziej zaawansowanych ataków typu XSS (Cross-Site Scripting), może to prowadzić do poważnych problemów bezpieczeństwa, np. kradzieży danych logowania użytkowników lub przejęcia kontroli nad ich kontami.

komentarz 19 marca 2023 przez s1m1nv1k Początkujący (270 p.)

chodzi mi o to czy ten przykładowy nagłówek

<h1>test</h1>

po wstrzyknięciu będzię widoczny na tej przykładowej stronie dla innych odwiedzjących tą strone

komentarz 19 marca 2023 przez Wiciorny Ekspert (280,450 p.)
tak, jeśli formularz jest podatny, ale tez nie wiadomo gdzie te dane są wysyłane więc  to zależy :)

Podobne pytania

+2 głosów
3 odpowiedzi 463 wizyt
0 głosów
4 odpowiedzi 711 wizyt
+1 głos
1 odpowiedź 283 wizyt

93,329 zapytań

142,323 odpowiedzi

322,400 komentarzy

62,663 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 1 Wprowadzenie do ITsec, tom 2

Można już zamawiać dwa tomy książek o ITsec pt. "Wprowadzenie do bezpieczeństwa IT" - mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy aż 15% zniżki! Dziękujemy ekipie Sekuraka za fajny rabat dla naszej Społeczności!

...