#HTML tiêm, #Hack, #HTML
** tiêm HTML là gì? **
Tiêm HTML là một lỗ hổng ứng dụng web cho phép kẻ tấn công chèn mã HTML của riêng họ vào một trang web.Điều này có thể được sử dụng để hiển thị nội dung độc hại, đánh cắp dữ liệu người dùng hoặc thậm chí kiểm soát trang web.
** Cách tìm lỗi tiêm HTML? **
Bạn có thể tìm thấy các lỗi tiêm HTML bằng cách tìm kiếm các địa điểm trong ứng dụng web nơi đầu vào của người dùng được chấp nhận và sau đó được ánh xạ tới đầu ra.Điều này có thể ở trong:
* Các trường nhập (như ví dụ trên)
* Nhận tham số (như ví dụ.com/?id=HI)
* Tiêu đề (như X-Forededed-Host: <H1> Hey </H1>)
* Đăng tham số (như tên người dùng, mật khẩu, ...)
** tiêm HTML trong thực tế **
Dưới đây là một ví dụ về cách tiêm HTML có thể được sử dụng để tấn công một trang web.
Tôi đã tìm kiếm một chương trình riêng tư khoảng 2 tháng trước.Trang web có 2 chức năng:
* Đăng nhập
* Đăng ký
Tôi bắt đầu tìm kiếm các lỗ hổng trong hai chức năng này trong khoảng 4 giờ và không tìm thấy gì.Sau một ngày để nghỉ ngơi, tôi bắt đầu săn bắn một lần nữa.Lần này tôi bắt đầu tìm kiếm lỗi tiêm HTML.
Vì vậy, tôi đã cố gắng đăng ký lại trên trang web và nhận ra một số điều:
* Hàm đăng ký yêu cầu một địa chỉ email, tên người dùng và mật khẩu.
* Khi tôi nhấp vào Đăng ký sau khi điền vào các chi tiết đó, một email xác nhận đã được gửi đến tài khoản email của tôi.
* Bên trong email đó có một nội dung như thế này:
"Này Faiyaz, vui lòng xác minh tài khoản của bạn tại đây: VerifiedLink.com/"
Và ở đây "Faiyaz" là tên người dùng mà tôi đã điền khi đăng ký vào trang web.
Nhận ra điều này, tôi đã đăng ký lại nhưng lần này tôi đã cung cấp tên người dùng:
`<H1> hack </h1>`
Và thật bất ngờ, tôi đã nhận được kết quả như hình dưới đây:
Như bạn có thể thấy, mã HTML của chúng tôi đã được hiển thị thành công.
Tôi đã báo cáo lỗi này cho công ty và họ đã trả lời nó trong vòng một tuần.
** Mẹo để ngăn ngừa tiêm HTML **
Để ngăn ngừa tiêm HTML, bạn có thể:
* Vệ sinh tất cả các đầu vào của người dùng trước khi nó được sử dụng để tạo đầu ra.
* Sử dụng Chính sách bảo mật nội dung (CSP) để hạn chế các loại nội dung có thể được tải vào trình duyệt.
* Sử dụng tường lửa ứng dụng web (WAF) để chặn các yêu cầu độc hại.
**Tài nguyên**
* [OWASP Cheat Sheet: HTML tiêm] (https://owasp.org/www-project-cheatsheet
* [Làm thế nào để ngăn chặn tiêm HTML] (Security vulnerabilities, CVEs,)
=======================================
#HTML Injection, #Hack, #HTML
**What is HTML Injection?**
HTML Injection is a web application vulnerability that allows an attacker to insert their own HTML code into a website. This can be used to display malicious content, steal user data, or even take control of the website.
**How to find HTML Injection errors?**
You can find HTML Injection errors by looking for places in the web application where user input is accepted and then mapped to the output. This could be in:
* Input fields (like the example above)
* GET parameters (like example.com/?id=hi)
* Title (like X-Forwarded-Host: <h1> Hey </h1>)
* Post parameters (such as username, password, ...)
**HTML Injection in practice**
Here is an example of how HTML Injection can be used to attack a website.
I was looking for a private program about 2 months ago. The website had 2 functions:
* Login
* Signup
I started looking for vulnerabilities in these two functions for about 4 hours and didn't find anything. Then after a day to rest, I started hunting again. This time I started searching for the error of HTML Injection.
So, I tried to re-register on the website and realized some things:
* The registration function required an email address, username, and password.
* When I clicked on register after filling out those details, a confirmation email was sent to my email account.
* Inside that email had a content like this:
"Hey Faiyaz, please verify your account here: VerificationLink.com/"
And here "Faiyaz" is the username that I have filled up when registering to the website.
Realizing this, I re-registered but this time I provided the username:
`<h1> Hacked </h1>`
And unexpectedly, I received the result as shown below:
As you can see, our HTML code has been displayed successfully.
I reported this error to the company and they responded to it within a week.
**Tips for preventing HTML Injection**
To prevent HTML Injection, you can:
* Sanitize all user input before it is used to generate output.
* Use a Content Security Policy (CSP) to restrict the types of content that can be loaded into the browser.
* Use a Web Application Firewall (WAF) to block malicious requests.
**Resources**
* [OWASP Cheat Sheet: HTML Injection](https://owasp.org/www-project-cheatsheets/cheatsheet-html-injection)
* [How to Prevent HTML Injection](https://www.cvedetails.com/vulnerability-list/vendor/all/product/all/security-category/injection/attack-vector/all/threat-level/all/vulnerability-type/all/page/1)
** tiêm HTML là gì? **
Tiêm HTML là một lỗ hổng ứng dụng web cho phép kẻ tấn công chèn mã HTML của riêng họ vào một trang web.Điều này có thể được sử dụng để hiển thị nội dung độc hại, đánh cắp dữ liệu người dùng hoặc thậm chí kiểm soát trang web.
** Cách tìm lỗi tiêm HTML? **
Bạn có thể tìm thấy các lỗi tiêm HTML bằng cách tìm kiếm các địa điểm trong ứng dụng web nơi đầu vào của người dùng được chấp nhận và sau đó được ánh xạ tới đầu ra.Điều này có thể ở trong:
* Các trường nhập (như ví dụ trên)
* Nhận tham số (như ví dụ.com/?id=HI)
* Tiêu đề (như X-Forededed-Host: <H1> Hey </H1>)
* Đăng tham số (như tên người dùng, mật khẩu, ...)
** tiêm HTML trong thực tế **
Dưới đây là một ví dụ về cách tiêm HTML có thể được sử dụng để tấn công một trang web.
Tôi đã tìm kiếm một chương trình riêng tư khoảng 2 tháng trước.Trang web có 2 chức năng:
* Đăng nhập
* Đăng ký
Tôi bắt đầu tìm kiếm các lỗ hổng trong hai chức năng này trong khoảng 4 giờ và không tìm thấy gì.Sau một ngày để nghỉ ngơi, tôi bắt đầu săn bắn một lần nữa.Lần này tôi bắt đầu tìm kiếm lỗi tiêm HTML.
Vì vậy, tôi đã cố gắng đăng ký lại trên trang web và nhận ra một số điều:
* Hàm đăng ký yêu cầu một địa chỉ email, tên người dùng và mật khẩu.
* Khi tôi nhấp vào Đăng ký sau khi điền vào các chi tiết đó, một email xác nhận đã được gửi đến tài khoản email của tôi.
* Bên trong email đó có một nội dung như thế này:
"Này Faiyaz, vui lòng xác minh tài khoản của bạn tại đây: VerifiedLink.com/"
Và ở đây "Faiyaz" là tên người dùng mà tôi đã điền khi đăng ký vào trang web.
Nhận ra điều này, tôi đã đăng ký lại nhưng lần này tôi đã cung cấp tên người dùng:
`<H1> hack </h1>`
Và thật bất ngờ, tôi đã nhận được kết quả như hình dưới đây:
Như bạn có thể thấy, mã HTML của chúng tôi đã được hiển thị thành công.
Tôi đã báo cáo lỗi này cho công ty và họ đã trả lời nó trong vòng một tuần.
** Mẹo để ngăn ngừa tiêm HTML **
Để ngăn ngừa tiêm HTML, bạn có thể:
* Vệ sinh tất cả các đầu vào của người dùng trước khi nó được sử dụng để tạo đầu ra.
* Sử dụng Chính sách bảo mật nội dung (CSP) để hạn chế các loại nội dung có thể được tải vào trình duyệt.
* Sử dụng tường lửa ứng dụng web (WAF) để chặn các yêu cầu độc hại.
**Tài nguyên**
* [OWASP Cheat Sheet: HTML tiêm] (https://owasp.org/www-project-cheatsheet
* [Làm thế nào để ngăn chặn tiêm HTML] (Security vulnerabilities, CVEs,)
=======================================
#HTML Injection, #Hack, #HTML
**What is HTML Injection?**
HTML Injection is a web application vulnerability that allows an attacker to insert their own HTML code into a website. This can be used to display malicious content, steal user data, or even take control of the website.
**How to find HTML Injection errors?**
You can find HTML Injection errors by looking for places in the web application where user input is accepted and then mapped to the output. This could be in:
* Input fields (like the example above)
* GET parameters (like example.com/?id=hi)
* Title (like X-Forwarded-Host: <h1> Hey </h1>)
* Post parameters (such as username, password, ...)
**HTML Injection in practice**
Here is an example of how HTML Injection can be used to attack a website.
I was looking for a private program about 2 months ago. The website had 2 functions:
* Login
* Signup
I started looking for vulnerabilities in these two functions for about 4 hours and didn't find anything. Then after a day to rest, I started hunting again. This time I started searching for the error of HTML Injection.
So, I tried to re-register on the website and realized some things:
* The registration function required an email address, username, and password.
* When I clicked on register after filling out those details, a confirmation email was sent to my email account.
* Inside that email had a content like this:
"Hey Faiyaz, please verify your account here: VerificationLink.com/"
And here "Faiyaz" is the username that I have filled up when registering to the website.
Realizing this, I re-registered but this time I provided the username:
`<h1> Hacked </h1>`
And unexpectedly, I received the result as shown below:
As you can see, our HTML code has been displayed successfully.
I reported this error to the company and they responded to it within a week.
**Tips for preventing HTML Injection**
To prevent HTML Injection, you can:
* Sanitize all user input before it is used to generate output.
* Use a Content Security Policy (CSP) to restrict the types of content that can be loaded into the browser.
* Use a Web Application Firewall (WAF) to block malicious requests.
**Resources**
* [OWASP Cheat Sheet: HTML Injection](https://owasp.org/www-project-cheatsheets/cheatsheet-html-injection)
* [How to Prevent HTML Injection](https://www.cvedetails.com/vulnerability-list/vendor/all/product/all/security-category/injection/attack-vector/all/threat-level/all/vulnerability-type/all/page/1)
