# performance.now + Force heavy task
{{#include ../../banners/hacktricks-training.md}}
**Eksploit pochodzi z [https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/](https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/)**
W tym wyzwaniu użytkownik mógł wysłać tysiące znaków, a jeśli flaga była zawarta, znaki byłyby odesłane do bota. Wysyłając dużą ilość znaków, atakujący mógł zmierzyć, czy flaga była zawarta w wysłanym ciągu, czy nie.
> [!WARNING]
> Początkowo nie ustawiłem szerokości i wysokości obiektu, ale później odkryłem, że jest to ważne, ponieważ domyślny rozmiar jest zbyt mały, aby miało to znaczenie w czasie ładowania.
```html
```
{{#include ../../banners/hacktricks-training.md}}