实验室:反映了受非常严格CSP保护的XSS,带有悬空的标记攻击
这个实验室使用严格CSP这阻止了向外部网站的传出请求。beplay体育能用吗
要解决实验室,首先执行跨站脚本绕过CSP并淘汰模拟受害者用户的攻击CSRF令牌使用Burp合作者。然后,您需要将模拟用户的电子邮件地址更改为hacker@evil-user.net
。
您必须用“单击”一词标记矢量,以诱导模拟用户单击它。例如:
单击我
您可以使用以下凭据登录到自己的帐户:维纳:彼得
笔记
为了防止用于攻击第三方的学院平台,我们的防火墙会阻止实验室和任意外部系统之间的交互。要解决实验室,您必须使用提供的漏洞服务器和/或BURP合作者的默认公共服务器。