产品对比
专业版和企业版有什么区别?
下载
下载最新版本的Burp Suite。
该实验室使用htmljanitor库,这很容易受到影响Dom Clobbering。要解决该实验打印()功能。您可能需要使用Exploit服务器,以使您的矢量自动执行在受害者的浏览器中。
打印()
该实验室的预期解决方案将在Firefox中不起作用。我们建议使用Chrome完成此实验室。
启动实验室可能需要一些时间,请在我们构建您的环境时坚持下去。
转到博客文章之一,并创建一个包含以下HTML的评论:
<形式id = x tabindex = 0 onfocus = print()>
转到利用服务器并添加以下内容iframe到身体:
iframe
切记更改URL以包含您的实验室ID,并确保邮政参数匹配邮政您在上一步中注入HTML的博客文章中。
邮政
库使用属性属性要过滤HTML属性。但是,仍然可以抓住属性属性本身,导致长度不确定。这使我们能够将想要的任何属性注入形式元素。在这种情况下,我们使用焦点属于走私打印()功能。
属性
形式
焦点
当。。。的时候iframe已加载,在500ms延迟后,它添加了#X片段到页网址的末尾。必须延迟以确保在执行JavaScript之前加载包含注射的注释。这使浏览器专注于具有ID的元素“X”,这是我们在评论中创建的形式。这焦点事件处理程序然后致电打印()功能。
#X
“X”
是否想跟踪您的进度并拥有更个性化的学习经验?(免费!)
练习在现实目标上利用漏洞。
记录您从学徒到专家的发展。
看看您在我们的名人堂中排名。