이 글은 저자가 NASA 도메인에서 발견한 HTML 주입 취약점과 이를 악용하여 심각도를 높이는 방법을 설명합니다.
먼저 저자는 서브도메인 검색 도구를 사용하여 등록 페이지를 찾았고, 이름 필드에 HTML 주입을 시도했습니다. 그 결과 HTML 태그가 실행되는 것을 확인했습니다. 또한 첫 이름 필드에 자기 자신의 쿠키를 노출시키는 자기 XSS 공격도 성공했습니다.
하지만 이 취약점을 보고했을 때 "정보" 등급으로 처리되었습니다. 이에 저자는 DMARC 정책 미적용을 이용하여 이메일 스푸핑과 리다이렉션 공격을 수행함으로써 심각도를 높일 수 있다고 설명합니다. 이를 통해 "이메일 HTML 주입 + DMARC 정책 미적용 = 리다이렉션, 사용자 IP 노출, 스푸핑" 이라는 제목으로 보고서를 작성하면 심각도가 높게 평가될 수 있다고 제안합니다.
Naar een andere taal
vanuit de broninhoud
medium.com
Belangrijkste Inzichten Gedestilleerd Uit
by om medium.com 06-02-2024
https://medium.com/@Ajakcybersecurity/how-to-escalate-p5-email-html-injection-to-p4-19a61a85a76bDiepere vragen