1、简介
网页篡改型漏洞是结合 HTML 标签与请求篡改的新型 Web 安全风险,核心通过 iframe 嵌套劫持、分享 URL 参数篡改等方式,实现网页跳转黑链、钓鱼诱导等攻击,常见于评论区、商品分享等输入 / 交互场景,易造成品牌受损、用户被骗,是 SRC 挖洞高频有效靶点。
2、案例分享
2.1 “新型” 网页篡改型漏洞
这是我自己的取名字,本质还是结合各种标签,实现网站篡改
2.2 配合inframe标签
这个标签就是网页中嵌套另一个网页,既然打不了inframe的ssrf,那么就打网页篡改型漏洞<iframe src="xxxx.com">哈哈哈</iframe>
在其他标签都插入不了的情况下,直接干这个payload,插入到评论
别人访问首页,直接跳转到其他网页,实现网页劫持
2.3 篡改分享url
看似正常实则已被拿下(这个可能真的是新思路)
这个是个正常商品,点击客服
发送商家
改请求同体数据如下
点击商品,直接跳转到上面的黑链(是不是可以钓鱼呀)
重点!重点!重点! 有kfc吃
THE END
暂无评论内容