'=' e '(' sono bypassati XSS [chiuso]

0

Come posso aggiungere = nel mio script quando return input.replace (/ [= (] /g, ''); lo sta sostituendo? Questo è solo per scopi educativi che risolvono il CTF. Codici HTML usati ma non funzionanti.

    
posta user192776 03.12.2018 - 18:07
fonte

2 risposte

4
  = = 

Per chiarezza, ovvero:

[space][space]=[space]=[space]

Il motivo per cui questo funziona è perché c'è un solo passaggio di sostituzione in esecuzione sulla stringa di input. In questa stringa originale, c'è solo un'istanza di "[spazio] = [spazio]". Quando viene rimosso, c'è una nuova istanza di "[spazio] = [spazio]" rimasta, ma sostituisci solo le scansioni nella stringa da sinistra a destra una volta.

Questa tecnica è generale nei casi in cui la sostituzione viene utilizzata una sola volta per rimuovere una stringa da un'altra stringa. Considera il codice input.replace(/blue/g, '') . Se hai dato la stringa "il mio colore preferito è blblueue", il "blu" interno verrà rimosso, lasciando solo "il mio colore preferito è blu".

    
risposta data 03.12.2018 - 22:23
fonte
0

Prova la codifica HTML con i tag svg, dopo la codifica non è un javascript valido. svg lo rende testo prova nei tag svg

    
risposta data 05.12.2018 - 03:17
fonte

Leggi altre domande sui tag