Xss game level 2 write up
#번역
미션 설명 : 웹 응용 프로그램은 종종 사용자 데이터를 서버 측 및 클라이언트 측 데이터베이스에 보관하고 나중에 사용자에게 표시합니다. 그러한 사용자 제어 데이터의 출처가 무엇이든 관계없이 신중하게 처리해야 합니다.
복잡한 응용 프로그램에서 xss 버그를 얼마나 쉽게 도입할 수 있는지 알 수 있습니다.
미션 목표 : alert() 응용 프로그램의 내용 안에 팝업 스크립트를 삽입하세요.
참고 : 응용 프로그램에서 게시물을 저장하므로 코드를 몰래 사용하여 경고를 실행하면 다시 로드할 때마다 수준이 해결됩니다.
#분석
<script>구문이 먹히지 않음으로 필터링하고 있음을 알게 되었다. (필터링 하는 법 공부 예정)
hint로 onerror를 사용하라고 했는데, onerror를 검색하니 이렇게 나왔다.
(https://www.w3schools.com/jsref/event_onerror.asp)
<img src="image.gif" onerror="myFunction()">
img src를 실행하고 없으면 에러가 발생하고 onerror를 실행하게 된다.
그래서 일부러 없는 파일을 실행시킨 후 onerror에 원하는 행동을 하면 xss를 실행할 수 있게 된다.
#익스
<img src=image.gif onerror=alert("yeali")>
'WebHacking > Xss-game Write-Up' 카테고리의 다른 글
| Xss game level 6 write up (0) | 2018.07.17 |
|---|---|
| Xss game level 5 write up (0) | 2018.07.17 |
| Xss-game level 4 write up (0) | 2018.07.17 |
| Xss game level 3 write-up (0) | 2018.07.17 |
| Xss-game level 1 write-up (0) | 2018.07.17 |