实验室:在JavaScript URL中反映XSS,其中一些字符被阻止
专家
该实验室反映了您在JavaScript URL中的输入,但一切都没有。最初,这似乎是一个琐碎的挑战。但是,该应用程序正在阻止某些字符,以防止XSS攻击。
要解决实验室,执行跨站脚本攻击称呼警报
用字符串函数1337
包含在某个地方警报
信息。
解决方案
访问以下URL,更换您的LAB-ID
使用您的实验室ID:
https://your-lab-id.beplay体育能用吗web-security-academy.net/post?postid=5&%27},x = x = x =%3e {throw/dthrow/dheyror = alert = alert = alert = alert = alert = alert = alert = al = x,窗口%2b%27%27,{x:%27
实验室将被求解,但是只有在页面底部单击“返回博客”时,该警报才会被调用。
利用使用异常处理来调用警报
与参数一起函数。这扔
使用语句,并用空白的注释分开,以便获得无空间限制。这警报
功能已分配给Onerror
例外处理程序。
作为扔
是一个陈述,不能用作表达式。相反,我们需要使用箭头函数来创建一个块,以便扔
语句可以使用。然后,我们需要调用此功能,因此我们将其分配给to
财产的窗户
并通过强制将字符串转换在窗户
。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)