实验室:存储的DOM XSS
从业者
该实验室在博客评论功能中演示了存储的DOM漏洞。要解决该实验室,请利用此漏洞来调用警报()
功能。
解决方案
发表包含以下向量的评论:
<>
试图防止XSS,网站使用Jbeplay体育能用吗avaScript代替()
函数以编码角括号。但是,当第一个参数是字符串时,该函数仅替换第一次出现。我们通过简单地在评论开始时简单地包括一组额外的角度支架来利用这种漏洞。这些角括号将被编码,但是任何后续的角括号都不会受到影响,从而使我们能够有效绕过过滤器并注入HTML。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)