Xss-game level 1 write-up

XSS game Level 1 Write up

# Analysis

번역)

미션 설명

사용자 입력이 적절한 이스케이프 처리없이 페이지에 직접 포함되는 크로스 사이트 스크립팅의 일반적인 원인을 보여준다. 

아래의 취약한 응용 프로그램 창과 상호 작용하고 원하는 JavaScript를 실행하는 방법을 찾아라. 취약한 창 내부에서 작업을 수행하거나 URL 표시 줄을 직접 편집 할 수 있다. 

미션 목표

아래 프레임에 JavaScript alert()를 삽입하시오! 

알림을 표시하면 다음 단계로 넘어갈 수 있습니다.  

** escape/이스케이프 :  번역을 하면 탈출이라는 뜻. 

값을 에러없이 전달하기 위해서 사용된다. 제어 문자로 인식될 수 있는 특정 문자 왼쪽에 슬래시를 붙이거나 URL 또는 HTML 엔티티 등으로 인코딩하여 제어 문자가 아닌 일반 문자로 인식시켜 에러 또는 에러를 이요한 부정행위를 방지하게 한다. 

또한 javascript에서 사용하는 함수 중 하나다. url로 데이터를 전달하기 위해서 문자열을 인코딩한다. 

***HTML Entity : HTML이나 XHTML 문서를 코딩할 때 특수문자를 써야 하는 경우에는 이러한 엔티티 코드 또는 엔티티 넘버로 변환해서 입력해야 한다. 변환하지 않고 특수문자를 그대로 입력해버리면 컴퓨터가 문서를 읽을 때 실제 문서 내용과 코드를 구분하지 못하는 문제가 발생한다. 또한 이스케이프때문에 사용한다. 

https://blog.outsider.ne.kr/380 

Exploit

<script>alert("yeali")</script>