实验室:将XSS反射到带有角括号HTML编码的JavaScript字符串中
学徒
这个实验室包含一个反映的跨站点脚本搜索查询跟踪功能中的漏洞在其中编码角度括号。反射发生在JavaScript字符串中。要解决此实验警报
功能。
解决方案
- 在搜索框中提交一个随机的字母数字字符串,然后使用Burp Suite拦截搜索请求并将其发送给Burp Repeater。
- 观察到随机字符串已反映在JavaScript字符串中。
用以下有效载荷替换输入,以突破JavaScript字符串并注入警报:
' - alert(1) - '
- 通过右键单击,选择“复制URL”并将URL粘贴到浏览器中,验证该技术的工作。加载页面时,它应该触发警报。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)