实验室：使用Web消息的DOM XS和beplay体育能用吗`JSON.PARSE`

从业者

该实验室使用Web消息传递并beplay体育能用吗将消息解析为JSON。要解决实验室，请在利用此漏洞的利用服务器上构造HTML页面打印（）功能。

解决方案

请注意，主页包含一个聆听的事件听众beplay体育能用吗网络消息。此事件听众期望使用json.parse（）。在JavaScript中，我们可以看到活动听众期望类型财产和那个负载通道案例转变语句更改iframe src属性。
转到利用服务器并添加以下内容iframe到身体，记住更换您的LAB-ID使用您的实验室ID：
</code></li> <li>存放利用并将其交付给受害者。</li> </ol> <p>当。。。的时候<code>iframe</code>我们构建了负载，<code>Postmessage（）</code>方法将Web消息发送到主页上的beplay体育能用吗类型<code>负载通道</code>。事件侦听器收到消息，并使用<code>json.parse（）</code>将其发送给<code>转变</code>。</p> <p>这<code>转变</code>触发<code>负载通道</code>案例，分配<code>URL</code>消息的属性<code>src</code>属性<code>acmeplayer.element</code><code>iframe</code>。但是，在这种情况下，<code>URL</code>消息的属性实际上包含我们的JavaScript有效载荷。</p> <p>正如第二个参数指定的<code>靶向素</code>Web消息允许，事件处理程序不包含任何beplay体育能用吗形式的原始检查，有效载荷设置为<code>src</code>的<code>acmeplayer.element</code><code>iframe</code>。这<code>打印（）</code>当受害者将页面加载到其浏览器中时，调用功能。</p> </div> </div> <div class="component-solution is-expandable"> <h4>社区解决方案beplay维护得多久</h4> <div> <h5>迈克尔·索默（没有音频）</h5> <div class="youtube-wrapper"> <iframe src="https://www.youtube.com/embed/Nwj-ufySWRI?origin=//www.muteki-anime.com&rel=0" allowfullscreen>


    
     
     
      是否想跟踪您的进度并拥有更个性化的学习经验？（免费！）
      
       注册
       登录
      
     
     
      在这个主题中
      基于DOM的漏洞
      Dom Clobbering
     
     
      所有主题
      SQL注入
      XSS
      CSRF
      点击劫机
      基于DOM
      科尔斯
      xxe
      SSRF
      要求走私
      指挥注射
      服务器端模板注入
      不安全的挑战
      目录遍历
      访问控制
      验证
      OAuth身份验证
      业务逻辑漏洞
      beplay体育能用吗网络缓存中毒
      HTTP主机标头攻击
      beplay体育能用吗Websocket
      信息披露
      文件上传漏洞
     
     
      
      使用Burp Suite查找基于DOM的漏洞
      bepaly下载app

免费注册以跟踪您的学习进度

通过Portswigger的网络安全学院工作的好处beplay官网可以赌beplay体育能用吗

练习在现实目标上利用漏洞。
记录您从学徒到专家的发展。
看看您在我们的名人堂中排名。

^{已经有一个帐户？在此登录}

实验室：使用Web消息的DOM XS和beplay体育能用吗JSON.PARSE

解决方案

在这个主题中

所有主题

使用Burp Suite查找基于DOM的漏洞

免费注册以跟踪您的学习进度

实验室：使用Web消息的DOM XS和beplay体育能用吗`JSON.PARSE`