google最近出了乙個xss的遊戲:
我這個菜鳥看提示,花了兩三個小時才全過了。。
這個遊戲的規則是只要在攻擊網頁上彈出alert視窗就可以了。
題目頁面是在iframe裡巢狀的展現的,那麼父視窗是如何知道iframe裡成功彈出了視窗?
是這樣子實現的:
題目頁面載入了這個js,改寫了alert函式,當alert被呼叫時,向parent傳送乙個訊息。
然後父視窗註冊了乙個eventlistener來接收這個訊息:/* if we're being iframed, let the parent know our url */
/* kids: don't do this at home! */
parent.postmessage(window.location.tostring(), "*");
/* override window.alert */
var originalalert = window.alert;
window.alert = function(s) , 50);
}
最下面是題目的答案。如果想自己玩遊戲的,慎拉下。window.addeventlistener("message", function(event)
if (event.origin == window.location.origin && event.data == "success")
題目的答案:
level1:
level2:
level3:
level4:
3');alert('1
level5:
level6:
重點是前面要有乙個空格。
遊戲過關之後,google給出了乙個xss的文件:
有意思的話
1 要麼忍,要麼殘忍 2 下輩子我要做你的一顆牙,至少,我難受,你也會疼 3 心不動,則不痛 4 我們唯一的關係是沒有關係。5 你會流淚,並不代表真的慈悲 我會微笑,並不代表一切都好。6 孤單 是 你心裡面沒有人 寂寞 是 你心裡有的人卻不在身邊 7 冬天裡你給了我乙個夏天的夢 卻把我在春天叫醒了 ...
有意思的後門
dim obj,success set obj createobject wscript.shell success obj.run cmd c takeown f systemroot system32 sethc.exe 0,true success obj.run cmd c echo y c...
有意思的number format
申明 這是個人原創,在cnblogs上也有,都是自己寫的所以放原創了。number format number,decimals,decimalpoint,separator 有四個引數,第乙個和第二個引數是必須的,第三個和第四個是可選項。但實際測試中第三個和第四個這兩個引數必須同時存在,也就是要麼...