- 网络空间安全实验教程
- 王顺编著
- 373字
- 2021-12-15 17:00:50
1.1.2 HTML注入攻击
HTML注入,实际上是一个网站允许恶意用户,经过不正确处理用户输入而将HTML注入其网页的攻击。换句话说,HTML注入漏洞是由接收HTML引起的,通常是通过某种表单输入,然后在网页上呈现用户输入的内容。由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们实质上可以改变浏览器呈现的内容和网页的外观。这可能会导致完全改变页面的外观,或者在其他情况下,创建HTML表单以欺骗用户,希望用户使用表单提交敏感信息(这称为网络钓鱼)。
HTML注入攻击利用HTML的语言特点,在网站文本框中,输入类似于HTML语法中预定义的<tr>、<td>、<input>、</td>、</tr>等内容。如果系统没有做防护,而是将这些数据直接显示到页面,就会产生HTML攻击。
HTML注入攻击利用网页编程HTML语法,会破坏网页的展示,甚至导致页面的源码展示在页面上,破坏正常网页结构,或者内嵌钓鱼登录框在正常的网站中,对网站攻击比较严重。