1。创建一个恶意Flash(SWF)文件
2。文件扩展名更改为JPG
3。打开上传文件网址:
4。点击文件上传,选择在步骤2中提到的文件,上传,复制图像文件的URL。
5。浏览网址:
-
https://15.rs/ContentHijacking/ContentHijacking.html
a)对象文件中输入在步骤4中复制的URL。
b)类型选择flash
c)在目标页填写图像文件的URL
6。点击加载对象和检索内容,你会注意到的全部内容已被劫持从论坛上所示的图像。
<需要用户登录,劫持用户敏感内容>
-
https
://
github
.
com
/
nccgroup
/
CrossSiteContentHijacking