XSS game : https://xss-game.appspot.com/
✔️ 문제
문제는 다음과 같다.
추가적인 내용으로는 넌 너의 어떠한 페이로드를 입력할 수 없을때
URL bar 주소를 수정할 수 있을 것이다 라는 직역으로
대충 푸는 느낌을 알 수 있다.
✔️ 풀이
실제로 문제 사진을 보면 위에 URL이 각 이미지별로
바뀌는 것을 확인할 수 있는데 이 부분을 이용해서
XSS 공격을 할 수 있도록 조작해보자.
코드를 확인해보면 img 태그를 통해서
/static/level3/cloud + num + .jpg 형태로 이미지를
화면에 표시해주는 것을 확인할 수 있다.
그렇다면 .jpg 뒷 부분에 이전 문제처럼 onerror 이벤트를 삽입해보자.
frame#2' onerror='javascript:alert(2)
URL 태그 뒷 부분에 해당 코드를 주입해보자.
문제 풀이가 정상적으로 성공하게 된다.
해당 원리도 이전 문제와 동일하지만,
jpg 뒤에 있는 쿼터를 포함하여 작성해주어야 하기 때문에
' onerror ~~ 형태로 작성해주면 기존에 있던 쿼터까지 코드에 삽입하여
정상적으로 동작시킬 수 있게 된다.
화이팅 💪
'보안 > XSS' 카테고리의 다른 글
| [XSS] xss-game Level 6: Follow the 🐇 (0) | 2022.12.28 |
|---|---|
| [XSS] xss-game Level 5: Breaking protocol (0) | 2022.12.28 |
| [XSS] xss-game Level 4: Context matters (0) | 2022.12.28 |
| [XSS] xss-game Level 2: Persistence is key (0) | 2022.12.19 |
| [XSS] xss-game Level 1: Hello, world of XSS (0) | 2022.12.19 |
