Användarvisningsbild
avlidienbrunn
Respekterad Medlem
Inlägg: 131
Blev medlem: 08 mar 2015, 15:32
Områden: a'">http://a.b/<u>sd

[WEB/XSS]

27 sep 2017, 23:56

Det var väl hög tid för en ny XSS challenge från självaste avliden.

URL: http://54.229.36.218:3333/

Hur du spelar: Skapa en länk (http://54.229.36.218:3333/?xss=DIN_INPUT) som exekverar alert(1) när du klickar på den i firefox. Sen skickar du in den i den andra rutan (botten formuläret). Om länken funkar som beskrivet kommer du få tillbaka flaggan efter ~5-10 sekunder.

EDIT: För att förtydliga, där det står "Submit flag" borde det egentligen stå "Submit URL that runs alert(1) and starts with http://54.229.36.218:3333/".

Posta flaggan i en spoiler för att vinna.

notmyusualnick
Inlägg: 1
Blev medlem: 20 aug 2016, 16:01

Re: [WEB/XSS]

05 okt 2017, 14:43

Nej fan kommer inte längre..
Spoiler:' / blir escapat oavsett ordning, alla html-characters tas bort. <>"-! blir inte escapat.
blir
$.ajax({'url':'\'});function x(){alert(1)};x({"":\'', 'dataType': 'text'});
Så vet inte hur jag ska få till '.


Är jag på rätt spår? Helt ny på det här

Användarvisningsbild
avlidienbrunn
Respekterad Medlem
Inlägg: 131
Blev medlem: 08 mar 2015, 15:32
Områden: a'">http://a.b/<u>sd

Re: [WEB/XSS]

06 okt 2017, 16:41

Nej fan kommer inte längre..
Spoiler:' / blir escapat oavsett ordning, alla html-characters tas bort. <>"-! blir inte escapat.



blir


Så vet inte hur jag ska få till '.


Är jag på rätt spår? Helt ny på det här
Kul att folk kör :) Nej, inte rätt spår:
Spoiler:Vad är Zepto? $.ajax() ser ju ut som jQuery...

Användarvisningsbild
avlidienbrunn
Respekterad Medlem
Inlägg: 131
Blev medlem: 08 mar 2015, 15:32
Områden: a'">http://a.b/<u>sd

Re: [WEB/XSS]

28 okt 2017, 22:46