实验室:利用跨站点脚本捕获密码
从业者
这个实验室包含一个存储的XSS博客评论功能中的漏洞。一个模拟的受害者用户在发布后查看所有评论。要解决实验室,请利用剥离受害者的用户名和密码的漏洞,然后使用这些凭据登录受害者的帐户。
笔记
为了防止用于攻击第三方的学院平台,我们的防火墙会阻止实验室和任意外部系统之间的交互。要解决实验室,您必须使用BURP协作者的默认公共服务器。
一些用户会注意到,该实验室还有一种替代解决方案,不需要BURP合作者。但是,它远不止于剥离凭证。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)