实验室：不一致的处理特殊输入

1. 在通过Burp代理流量的同时，打开实验室，然后转到“目标”>“站点地图”选项卡。右键单击实验室域中，然后选择“参与工具”>“发现内容”以打开内容发现工具。
2. 单击“会话未运行”以启动内容发现。片刻后，查看对话框中的“站点地图”选项卡。请注意，它发现了道路/行政。
3. 尝试浏览/行政。尽管您无法访问，但错误消息表明dontwannacry用户可以。
4. 转到帐户注册页面。注意消息告诉dontwannacry员工使用公司电子邮件地址。
5. 从实验室横幅的按钮中，打开电子邮件客户端。记下电子邮件服务器的域名中的唯一ID（@your-email-id.beplay体育能用吗web-security-academy.net）。

6. 返回实验室，并在格式上注册一个非常长的电子邮件地址：

   非常长string@your-email-id.web-secbeplay体育能用吗urity-academy.net

   这非常长的弦应该至少有200个字符。

7. 转到电子邮件客户端，并注意您已收到确认电子邮件。单击链接以完成注册过程。
8. 登录并转到“我的帐户”页面。请注意，您的电子邮件地址已被截断为255个字符。
9. 注销并返回帐户注册页面。

10. 在另一个长电子邮件地址注册一个新帐户，但这次包括dontwannacry.com作为您的电子邮件地址中的子域，如下：

    非常长string@dontwannacry.com.your-email-id.web-secbeplay体育能用吗urity-academy.net

    确保非常长的弦是正确数量的字符，因此m“ 在......的最后@dontwannacry.com是角色255。

11. 转到电子邮件客户端，然后单击您收到的确认电子邮件中的链接。登录到您的新帐户，并注意您现在可以访问管理面板。确认电子邮件已成功发送给您的电子邮件客户端，但是应用程序服务器将与您的帐户关联的地址截断为255个字符。结果，您已经能够注册似乎是有效的@dontwannacry.com地址。您可以从“我的帐户”页面确认这一点。
12. 转到管理面板并删除Carlos来解决实验室。

迈克尔·索默（Michael Sommer）