# Dangling Markup - HTML scriptless injection {{#include ../../banners/hacktricks-training.md}} ## Resume 이 기술은 **HTML injection이 발견되었을 때** 사용자로부터 정보를 추출하는 데 사용할 수 있습니다. 이는 **XSS** [**를 악용할 방법을 찾지 못했을 때**](../xss-cross-site-scripting/index.html) 유용하며, **HTML 태그를 주입할 수 있는 경우**에 매우 유용합니다.\ 또한 **비밀이 HTML에 평문으로 저장되어** 있고 이를 클라이언트에서 **유출**하고 싶거나, 스크립트 실행을 오도하고 싶을 때도 유용합니다. 여기에서 언급된 여러 기술은 정보를 예상치 못한 방식으로 유출하여 일부 [**Content Security Policy**](../content-security-policy-csp-bypass/index.html)를 우회하는 데 사용할 수 있습니다 (html 태그, CSS, http-meta 태그, 폼, base...). ## Main Applications ### Stealing clear text secrets 페이지가 로드될 때 `

test ``` ### 양식 훔치기 ```html ``` 그런 다음, 데이터를 경로로 보내는 폼(`

`)은 악성 도메인으로 데이터를 보냅니다. ### 폼 훔치기 2 폼 헤더를 설정합니다: `` 이렇게 하면 다음 폼 헤더가 덮어쓰여지고 폼의 모든 데이터가 공격자에게 전송됩니다. ### 폼 훔치기 3 버튼은 "formaction" 속성을 사용하여 정보가 전송될 URL을 변경할 수 있습니다: ```html ``` 공격자는 이를 사용하여 정보를 훔칠 수 있습니다. [**이 공격의 예를 이 문서에서 찾으세요**](https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp). ### 평문 비밀 훔치기 2 가장 최근에 언급된 기술을 사용하여 양식을 훔치는 것(새 양식 헤더 주입)을 통해 새로운 입력 필드를 주입할 수 있습니다: ```html ` 태그를 주입하여 동일한 작업을 수행할 수 있습니다. 닫힌 ``이 발견될 때까지 모든 데이터가 전송됩니다: ```html Click Me ← Injected lines ← Existing form (ignored by the parser) ... ← Subverted field ... ...

``` ### Stealing clear text secrets via noscript ``는 브라우저가 자바스크립트를 지원하지 않을 경우 그 내용을 해석하는 태그입니다 (Chrome에서 자바스크립트를 [chrome://settings/content/javascript](chrome://settings/content/javascript)에서 활성화/비활성화할 수 있습니다). 공격자가 제어하는 사이트로 주입 지점에서 페이지의 내용을 하단까지 유출하는 방법은 다음을 주입하는 것입니다: ```html ``` ### Bypassing CSP with user interaction From this [portswiggers research](https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup) you can learn that even from the **most CSP restricted** environments you can still **exfiltrate data** with some **user interaction**. In this occasion we are going to use the payload: ```html You must click me ``` ### 오해의 소지가 있는 스크립트 워크플로우 1 - HTML 네임스페이스 공격 HTML 내부에 새로운 태그와 ID를 삽입하여 다음 태그를 덮어쓰고 스크립트의 흐름에 영향을 미칠 값을 설정합니다. 이 예제에서는 정보가 공유될 대상을 선택하고 있습니다: ```html ← Injected markup ... Share this status update with: ← Legitimate optional element of a dialog ... function submit_status_update() { ... request.share_with = document.getElementById('share_with').value; ... } ``` ### 오해의 소지가 있는 스크립트 워크플로우 2 - 스크립트 네임스페이스 공격 HTML 태그를 삽입하여 자바스크립트 네임스페이스 내에 변수를 생성합니다. 그런 다음 이 변수는 애플리케이션의 흐름에 영향을 미칩니다: ```html ← Injected markup ... // Legitimate application code follows function retrieve_acls() { ... if (response.access_mode == AM_PUBLIC) ← The subsequent assignment fails in IE is_public = true; else is_public = false; } function submit_new_acls() { ... if (is_public) request.access_mode = AM_PUBLIC; ← Condition always evaluates to true ... } ``` ### Abuse of JSONP JSONP 인터페이스를 찾으면 임의의 데이터로 임의의 함수를 호출할 수 있습니다: ```html ``` ### Iframe 남용 자식 문서는 교차 출처 상황에서도 부모의 `location` 속성을 보고 수정할 수 있는 능력을 가지고 있습니다. 이는 **iframe** 내에 스크립트를 삽입하여 클라이언트를 임의의 페이지로 리디렉션할 수 있게 합니다: ```html ``` 이것은 `sandbox=' allow-scripts allow-top-navigation'`와 같은 방법으로 완화할 수 있습니다. iframe은 또한 **iframe name 속성**을 사용하여 다른 페이지에서 민감한 정보를 유출하는 데 악용될 수 있습니다. 이는 HTML 주입을 악용하여 **민감한 정보가 iframe name 속성 안에 나타나게 하는** iframe을 생성할 수 있기 때문이며, 그런 다음 초기 iframe에서 해당 이름에 접근하여 유출할 수 있습니다. ```html ``` 더 많은 정보는 [https://portswigger.net/research/bypassing-csp-with-dangling-iframes](https://portswigger.net/research/bypassing-csp-with-dangling-iframes)를 확인하세요. ### \` 또는 리디렉션을 수행할 수 있습니다(이 경우 5초 후): `` 이는 **http-equiv**에 대한 **CSP**로 **회피**할 수 있습니다 ( `Content-Security-Policy: default-src 'self';`, 또는 `Content-Security-Policy: http-equiv 'self';`) ### 새로운 \