.png)
1 year ago
64 BOOK THIS SPACE FOR AD
ARTICLE ADMerhaba Arkadaşlar ! Yaklaşık 5 aydır bug bounty ve web üzerine gelişim sağlamaya çalışıyorum .aynı zamanda edindiğim bilgileri sizlerle paylaşmayı seviyorum :)
Peki 2 Farklı programda benzer şekilde e postada HTML Enjeksiyonunu nasıl elde ettim .
Öncellike normal bir kullanıcı gibi hedefadres.com ‘da gezinmeye başladım fakat herhangi bir şey elde edemedim . Daha sonra online olarak hedefadres.com için alt alanları taramaya başladım . (https://www.virustotal.com/gui/home/url)
Ve dükkan.hedefadres.com gibi bir alt alan elde ettim .Hızlıca siteye göz attığımda bunun satıcıların web adresi üzerinden kayıt olabileceği ve satışa başlayabileceği bir adres olduğunu öğrendim .Kayıt ol sayfasından normal bir satıcı gibi kayıt olmaya çalışırken isim ,soy isim vb. kişisel bilgileri doldururup kayıt oldum ve mail adresime örnek olarak şu şekilde bir mesaj geldi ..
e posta kısmında girilen ismin yansıtıldığını fark ettim ve tekrardan dükkan.hedefadres.com için kayıt ol sayfasına gittim . Burada tekrar kayıt olurken isim bölümüne şu yükü yazdım :
payload = <a href=https://saldırganadres.com>YOCLICKTHIS</a>
ve kayıt olup hızlıca gelen mailde işe yarayıp yaramadığını kontrol edelim :)
Burada ise ilk adrese benzer bir şekilde hedefadres2.com olsun . Burada normal bir kullanıcı olarak kayıt olduktan sonra diğer kullanıcıları davet edebileceğimiz bir özellik mevcuttu . İlk hedefte yaptığım gibi buradada aynı yöntemi denemeye çalıştım .Bu sayede başka bir kullanıcıyı davet ederken isim bölümüne HTML kodunu yazdım ve gelen mail adresini hızlıca kontrol ettim .
payload = <a href=https://saldırganadres.com>YOCLICKTHIS</a>
HTML enjeksiyonu e-postada çalıştığından, bir saldırgan kurbanı herhangi bir kötü amaçlı siteye yönlendirmek için kullanabilir ya da müstehcen veya sahte bir görsel şekilde ileti gönderebilir. Ayrıca XSS sayfası barındıran bir adrese yönlendirme sağlayabilir … Bunlar kurban için zarar verecek nitelikte olduğu için raporunuz sizden önce iletilmemişse kabul edilecektir :)
Toplamda her ikisi için 250 $ gibi bir miktar ile ödüllendirildim …
Sizlere yardımcı olması dileğiyle ❤ .
Bengali (Bangladesh) · 
English (United States) ·