Exploiting an HTML injection with dangling markup
Cet article détaille une méthode d'exploitation d'une vulnérabilité d'injection HTML découverte lors d'un test de pénétration. En utilisant des liens magiques pour l'authentification par email, un attaquant peut introduire du code HTML dans les paramètres du lien, permettant d'exfiltrer des informations sensibles comme le jeton d'authentification. Les détails incluent des exemples de requêtes et les implications de cette méthode en contexte d'attaque. Cela met en lumière la nécessité de sécuriser les entrées utilisateur dans les systèmes d'authentification par email.
