实验室：反映由非常严格的CSP保护的XSS，摇晃标记攻击

专家

这个实验室使用严格CSP.这会阻止向外部网站的传出请求。beplay体育能用吗

要解决实验室，请执行a跨站脚本绕过CSP并抵抗攻击的攻击CSRF令牌使用Burp Collaborator。您需要用“单击”单词标记矢量，以便诱导模拟的受害者单击它。例如：

点击我

您可以使用以下凭据登录您自己的帐户：维纳：彼得

为防止学院平台用于攻击第三方，我们的防火墙会阻止实验室和任意外部系统之间的交互。要解决实验室，您必须使用提供的exproit服务器和/或Burp Collaborator的默认公共服务器（Burpcollaborator.net.）。

使用上面提供的帐户登录实验室。
检查更改电子邮件功能。观察有一个XS.漏洞在电子邮件范围。
转到Burp菜单并启动Burp Collaborator客户端。
单击“复制到剪贴板”以将唯一的Burp Collaborator有效载荷复制到剪贴板。将Burp Collaborator客户端窗口打开。
返回实验室，转到ExproIT服务器并添加以下代码，替换您的实验室ID和您的exproit-server-id使用您的Lab ID和Exploit Server ID，并更换您的Collaborator-ID使用您刚从Burp Collaborator复制的有效载荷。