در این #رایتاپ رامین فرجپور؛ برنامهنویس و پژوهشگر آس | Ravro
در این #رایتاپ
رامین فرجپور؛ برنامهنویس و پژوهشگر آسیبپذیری
توضیح داده که، چطور تونسته با تغییر آدرس action در فرم، Form Action Hijacking انجام بده؟
" آسیبپذیری Form Action Hijacking این اجازه را به مهاجم میدهد تا با استفاده از پارامتری که در URL وجود دارد، property یا خصیصهی action یک تگ form در HTML صفحهی مورد نظر را تغییر دهد. مهاجم با در دست داشتن یک دامنه و تغییر URL آن میتواند عمل فرم ( Form Action) را در دست بگیرد. زمانی که مهاجم این تغییرات را در URL اعمال کند و کاربری روی لینک این URL تغییرکرده کلیک کند، تمام اطلاعات مختص به آن فرم (Form) به عمل (Action) مهاجم ارسال میگردد و حتی میتواند CSRF Token فرم را هم به سرقت ببرد..."
در #بلاگ راورو بخونید:
چگونه توانستم با تغییر آدرس action در فرم، Form Action Hijacking انجام بدم؟ @Ravro_ir