文章总结： 文章介绍了网页篡改型漏洞，这是一种结合HTML标签与请求篡改的新型Web安全风险。核心攻击方式包括iframe嵌套劫持和分享URL参数篡改，可实现网页跳转黑链、钓鱼诱导等攻击。这种漏洞常见于评论区、商品分享等交互场景，易造成品牌受损和用户欺骗，是SRC挖洞的高频有效靶点。 综合评分： 79 文章分类： WEB安全,漏洞分析,渗透测试,SRC活动,实战经验

新型网页“篡改型”漏洞

原创

极光攻防

极光攻防实验室

2025年12月1日 07:45 湖南

1、简介

网页篡改型漏洞是结合 HTML 标签与请求篡改的新型 Web 安全风险，核心通过 iframe 嵌套劫持、分享 URL 参数篡改等方式，实现网页跳转黑链、钓鱼诱导等攻击，常见于评论区、商品分享等输入 / 交互场景，易造成品牌受损、用户被骗，是 SRC 挖洞高频有效靶点。

2、案例分享

2.1 “新型” 网页篡改型漏洞

这是我自己的取名字，本质还是结合各种标签，实现网站篡改

2.2 配合inframe标签

这个标签就是网页中嵌套另一个网页，既然打不了inframe的ssrf，那么就打网页篡改型漏洞<iframe src="xxxx.com">哈哈哈</iframe>

在其他标签都插入不了的情况下，直接干这个payload，插入到评论

别人访问首页，直接跳转到其他网页，实现网页劫持

2.3 篡改分享url

看似正常实则已被拿下（这个可能真的是新思路）

这个是个正常商品，点击客服

发送商家

改请求同体数据如下

点击商品，直接跳转到上面的黑链（是不是可以钓鱼呀）

重点！重点！重点！ 有kfc吃

更多漏洞挖掘，渗透测试学习—-》》极光攻防社区，https://jgsec.cn

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极光攻防实验室 极光攻防《新型网页“篡改型”漏洞》