Old-23 Domain & Tool
- 구분 : XSS
- 문제풀이에 사용된 도구
- Chrome 103.0.5060.66
- python Module(Requests, beautrifulsoup)
Old-23 Question & Answer
대놓고 XSS 문제라고 경고한다. XSS는 허용되지 않는 곳에 스크립트 태그를 입력하는것으로 코드를 실행한다는 점에서 심각한 웹페이지 서버의 취약점이다. 필자는 PortSwigger(Burp의 제작사)의 Cheet sheet를 자주 애용한다. 참고하자
Cross-Site Scripting (XSS) Cheat Sheet - 2022 Edition | Web Security Academy
Interactive cross-site scripting (XSS) cheat sheet for 2022, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors.
portswigger.net
다시 돌아와서 alert(1)을 직접 input 태그에 입력하면, 다음과 같이 차단된다.
input태그에 걸리는 여러가지 필터의 우회법중 가장 유명하고 보편적인것은 null의 삽입이 아닐까 한다. null을 삽입하면 문자열은 동일하게 해석하지 않지만, 코드는 동작하게 된다. 다음의 값을 url code의 parameter로 입력하자
- <%00s%00c%00r%00i%00p%00t%00>a%00l%00e%00r%00t%00%28%001%00%29%00%3B%00<%00%2F%00s%00c%00r%00i%00p%00t%00>
이 값은 모든 값들 사이에 null을 넣은 결과이다. Nice!
'WarGame > Webhacking.kr' 카테고리의 다른 글
| [Webhacking.kr] old-25 Answer (0) | 2022.07.28 |
|---|---|
| [Webhacking.kr] old-24 Answer (0) | 2022.07.27 |
| [Webhacking.kr] old-22 Answer (0) | 2022.07.27 |
| [Webhacking.kr] old-21 Answer (0) | 2022.07.22 |
| [Webhacking.kr] old-20 Answer (0) | 2022.07.22 |