about absolroot
home

XSS-Game Level 2: Persistence is key

목표 : img onerror

임무 설명

웹 응용 프로그램은 종종 사용자 데이터를 서버 측 및 클라이언트 측 데이터베이스에 보관하고 나중에 사용자에게 표시합니다. 이러한 사용자 제어 데이터의 출처에 관계없이 신중하게 처리해야 합니다.
이 수준은 복잡한 앱에서 XSS 버그가 얼마나 쉽게 도입될 수 있는지 보여줍니다.

(원문) Mission Description

임무 목표

alert()
Plain Text
복사
응용 프로그램의 컨텍스트에서 팝업할 스크립트를 삽입합니다 .
참고
: 응용 프로그램은 게시물을 저장하므로 경고를 실행하기 위해 코드를 몰래 입력하면 다시 로드할 때마다 이 수준이 해결됩니다.

(원문) Mission Objective

Your Target

Target Code

Index.html

level.py

post-store.js

문제 풀이

바로 1번과 같은 형태의 스크립트를 입력해본다.
아무런 글도 보이지 않고 관련된 소스를 한 번 살펴보면
blockquote 처리돼있는걸 확인할 수 있다.
힌트부터 바로 살펴보면 i,m,g 즉 img 와 onerror를 사용하라고 안내하고 있다.
이미지에서 에러를 발생시켜 onerror 태그 내 값을 이용하는 방식이다.
<img src = "#" onerror = "alert('1');">
JavaScript
복사
바로 1이 Alert 되고 해결됐다.

✓ XSS Game

✓ 다른 [워게임] 포스트

WebHacking.kr Challenge Write-Up (70/80)
In progress
WebHacking.kr Challenge Write-Up (70/80)
In progress
Load more
︎ 더 많은 게시물을 보려면
︎ 작성자가 궁금하면?
 2024. absolroot all rights reserved.