PDA

Просмотр полной версии : Задания по DOM XSS


frank
02.07.2015, 11:20
Доброго дня, форумчане.

Предлагаю интересующимся попробовать свои силы(попытаться разобраться) кто желает, в прохождении заданий по DOM XSS.

На этом ресурсе http://escape.alf.nu/ размещены задания по нахождению уязвимости данного типа (за ссылку спасибо rdot.org, а в частности du3t (https://rdot.org/forum/member.php?u=7146)).

При прохождении, настоятельно рекомендую не нажимать "Show comments" под надписью "Here be spoilers". Так как частенько, многие мало сознательные и не сдержанные граждане, дабы блеснуть своими навыками там постят готовые решения. Не надо искать по интернету, там тоже есть ответы.

Старайтесь сами, если трудно, не понимаете и не получается, мануалы по функциям не помогают, пишите лучше свои вопросы, просьбы о помощи и разъяснениях сюда.

Уверен, опытные товарищи с удовольствием помогут разобрать задание, пояснят и объяснят. По крайне мере таким способом вы хоть что-то поймете и научитесь не допускать подобные просчеты в своем коде (мы ведь тут все собрались что бы именно на чужих ошибках научиться не допускать уязвимости у себя на ресурсах, не так ли ? )

b3
02.07.2015, 14:18
Отличный тест)

Одна просьба не выкладывать решение в тему.

frank
02.07.2015, 14:33
↑ (https://antichat.live/posts/3864431/)
Отличный тест)
Одна просьба не выкладывать решение в тему.


Да, хотелось бы.

Еще просьба к тем кто будет помогать и консультировать, если будут вопросы, наталкивать на мысль, пояснять, но не выдавать одно из решений уровня(если что, остальное в личку).

UPD решение для уровня не одно и всегда есть к чему стремиться. К примеру я нашел два решения для уровней с 0 по 2 включительно, одно на 34 символа, второе на 37(оба решения прекрасно отрабатывают на каждом из этих уровней). Для того же 3-го задания - три (по сути модификации одного и того же способа выхода за код) на 16, 17 и 18 символов кода...

UUPD предлагаю всем кто проходит, по мере прохождения писать какой наиболее короткий код получился для каждого задания (не сам код, а только кол-во символов этого кода, оно указывается при успешном прохождении рядом с надписью "

You won")

(только не надо создавать для каждого задания отдельный комментарий дабы не плодить кучу страниц, а просто добавлением в один и тот же, с помощью волшебной кнопки "Редактировать")

funny_kaplan
02.07.2015, 17:59
На седьмом завис.. не случайно же в thing[0] допускается' [ ]?

b3
02.07.2015, 17:59
У меня в первых заданиях код был на 21 символ

frank
02.07.2015, 18:00
↑ (https://antichat.live/posts/3864511/)
На седьмом завис.. не случайно же в thing[0] допускается
' [ ]
?


смотря в какой направлении думаешь, а вообще в самом коде есть подсказка

Я для седьмого только одно решение как то смог придумать на 14 символов.

faza02
02.07.2015, 21:45
↑ (https://antichat.live/posts/3864511/)
На седьмом завис.. не случайно же в thing[0] допускается
' [ ]
?


да, решение близко подумайте насчет '

frank
03.07.2015, 11:37
И так отчет, первая цифра это номер задание, потом знак дефиса за ним кол-во символов в решении (если несколько разных или модификаций одного, то просто перечислены через запятую)

0 - 34, 37

1 - 34, 37

2 - 34, 37

3 - 16, 17, 18

4 - 25

5 - 30

6 - 34, 36, 38

7 - 14

8 - 50, 57

9 - 1232

10 - 27

11 - 35

12 - 16

13 - 20

14 - 33

15 - 29

16 - x

Насколько долго возился с 9 пока дотумкал как, что боялся браться за 10, а оказалось очень даже простым... и все на виду, как говорится...очень сильно долго пришлось повозиться с 14=ым, 15-ый проще, так как аналог 14...

После 15-го открыли еще один уровень...

b3
03.07.2015, 11:47
Покажи решения для первых трех заданий, они как то странно длинные, скинь сюда под спойлером, интересно)

frank
03.07.2015, 11:52
↑ (https://antichat.live/posts/3864764/)
Покажи решения для первых трех заданий, они как то странно длинные, скинь сюда под спойлером, интересно)


в личку кинул

funny_kaplan
03.07.2015, 14:48
8-е задание может быть переменной длинны )

frank
03.07.2015, 15:09
↑ (https://antichat.live/posts/3864814/)
8-е задание может быть переменной длинны )


? чей то не понял тебя поясни сюда или в личку

frank
08.07.2015, 23:02
Завис на 16-ом на глухо, может кто сможет подсказать\помочь?

ссылка на 16-ое задание

http://escape.alf.nu/16