HTML Injection

O HTML Injection é uma falha que permite que o usuário seja capaz de injetar códigos HTML em algum ponto de entrada na aplicação. É uma vulnerabilidade que pode ser combinada com engenharia social, pois como é possível injetar um código HTML, é possível criar um formulário de login falso e enviar para alguém e assim conseguir algo.

Vejamos a seguir como funciona, da maneira mais simples possível.

Basicamente a aplicação está exibindo na tela qualquer coisa que for passado por parâmetro pelo usuário, sem ao menos fazer um tratamento correto das informações.

Com isso, podemos passar uma tag HTML para comprovar isso.

E pronto, a aplicação irá executar normalmente.

O impacto dessa vulnerabilidade não é alto. Apenas irá surtir efeito caso seja feito através de uma engenharia social, como foi dito.