# performance.now + Force heavy task
{{#include ../../banners/hacktricks-training.md}}
**Exploit preso da [https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/](https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/)**
In questa sfida, l'utente poteva inviare migliaia di caratteri e se il flag era contenuto, i caratteri sarebbero stati restituiti al bot. Quindi, inviando un grande numero di caratteri, l'attaccante poteva misurare se il flag era contenuto nella stringa inviata o meno.
> [!WARNING]
> Inizialmente, non impostai la larghezza e l'altezza dell'oggetto, ma successivamente scoprii che è importante perché la dimensione predefinita è troppo piccola per fare la differenza nel tempo di caricamento.
```html
```
{{#include ../../banners/hacktricks-training.md}}