Hello there, ('ω')ノ

 

正規リンクタグに反映されたXSSを。

このラボは、ユーザ入力を正規リンクタグに反映して山括弧をエスケープするらしく。

ラボを解決するには、XSS攻撃を呼び出す必要があって。

XSSを呼び出すために下記のキーを押すとのことで。

ただし、Chromeでのみで可能だとか。

 

　ALT+SHIFT+X

　CTRL+ALT+X

　Alt+X

 

まずは、投稿ページで入力して。

 

https://accc1f491e600a3480d61ef0009500af.web-security-academy.net/?%27%61%63%63%65%73%73%6b%65%79%3d%27%78%27%6f%6e%63%6c%69%63%6b%3d%27%61%6c%65%72%74%28%31%29

 

 

スクリプトを含むパラメータは、エンコードしておいて。

 

 

投稿するとブラウザがFireFoxなので、下記のキーを押さずにクリアできた。

 

　On Windows: ALT+SHIFT+X

 

 

Chromeだったら投稿後に名前のリンクをクリックして。

キーを押してalertが呼び出されるようで。

Chromeで実行するとalertが呼び出された。

 

 

Best regards, (^^ゞ