# performance.now + Forçar tarefa pesada
{{#include ../../banners/hacktricks-training.md}}
**Exploit retirado de [https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/](https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/)**
Neste desafio, o usuário poderia enviar milhares de caracteres e, se a flag estivesse contida, os caracteres seriam enviados de volta para o bot. Assim, ao enviar uma grande quantidade de caracteres, o atacante poderia medir se a flag estava contida na string enviada ou não.
> [!WARNING]
> Inicialmente, eu não defini a largura e a altura do objeto, mas depois percebi que isso é importante porque o tamanho padrão é muito pequeno para fazer diferença no tempo de carregamento.
```html
```
{{#include ../../banners/hacktricks-training.md}}