[Web Application Pentesting] HTML Injection
Life-Hack
Доброго времени суток коллеги. Сегодня мы с вами начнем осваивать базовые понятие инъекция кода в HTML.
Прежде чем мы начнем,давайте распределим для себя виды HTML инъекций:
- На стороне клиента (Frontend)Рендеринг Атаки => HTML инъекции
- Выполнение кода => JavaScript инъекции (XSS)
- На стороне сервера(Backend)Внедрение команд на стороне сервер (SQL инъекции, SSI, PHP инъекции, и т.д)
Сегодня мы посмотрим простейший пример HTML инъекции.
Я думаю вы уже смогли догадаться , что суть инъекции заключается в том , что мы в пользовательский ввод вставляем HTML теги,и в силу того что пользовательский ввод не фильтруется сервером ,введенные теги обрабатываются как полноценный HTML код.
Давайте посмотрим на простенький пример:
Создадим простой скрипт который буде выводить на экран сообщение которое было передано на сервер параметром msg например:
Для демонстрации передадим в запросе тег <h1><font color='red>Codeby</font><br>Forum
Как видим выполнился код HTML который мы передали нашему параметру msg
Вообщем на этом пока все) Мини ознакомительная статья про HTML Injection)