DEV Community

Peppa
Peppa

Posted on

CBJS: Html Injection 6

Detail

  • Mục tiêu là cướp cookie của admin
  • Ban đầu nhập email để đăng nhập, email không có bất kì filter nào Image description
  • Đã xử dụng EJS để ngăn chặn và loại bỏ các html tags Image description
  • Ta có thêm chức năng thông báo lỗi cho admin Image description

Image description

  • Phía admin sẽ nhận được các thông báo của client bao gôm email và content Image description
  • Nhưng đối với dòng hiển thị email đã không sử dụng EJS để loại bỏ các html tags. Vì vậy có thể nhập email là 1 thẻ <script> sau đó gửi để hiển thị phía admin Image description

Top comments (0)