728x90
이번 포스트에서는 XSS game의 Level 3 문제를 풀어보도록 하겠다.
문제에 들어가면 다음과 같은 화면이 보인다.
## 문제 해석 :
사진 하단에 표시된 웹 사이트에 간단하게 alert()만 띄우면 된다. 단 이번 문제는 애플리케이션 상이 아닌 URL 주소란을 활용해야 한다.
## 문제 풀이 :
우선 해당 웹 사이트에 XSS 공격이 적용되는지를 확인해 보겠다.
### 공격 코드 : <'">
### 실행 결과 :
.jpg'/> 가 출력된 것을 확인할 수 있다. 여기서는 사진의 확장자인 jpg가 출력되었으므로 img태그가 활용되고 있다는 것을 추측해낼 수 있다. 또한 "'" 작은 따옴표로 끝나는 것을 알 수 있다.
그럼 img 태그라고 가정하여 onerror 핸들러를 활용하여 끼워맞추면서 공격을 실행해보곘다.
### 공격 코드 : ' onerror=alert("GOTYOU") >
### 실행 결과 :
공격에 성공한 것을 확인할 수 있다.
'Wargame > XSS game' 카테고리의 다른 글
| XSS game (Level 6) (0) | 2022.07.19 |
|---|---|
| XSS game (Level 5) (0) | 2022.07.18 |
| XSS game (Level 4) (0) | 2022.07.17 |
| XSS game (Level 2) (0) | 2022.07.15 |
| XSS game (Level 1) (0) | 2022.07.14 |
