728x90
이번 포스트에서는 XSS game의 Level 5 문제를 풀어보도록 하겠다.
문제에 들어가면 다음과 같은 화면이 보인다.
## 문제 해석 :
사진 하단에 표시된 웹 사이트에 간단하게 alert()만 띄우면 된다.
## 문제 풀이 :
Sign up을 누르면 다음과 같은 화면이 나온다.
이메일을 입력하고 Next 버튼을 누르면 다음과 같은 화면이 나온다.
5초 뒤에 다시 초기화면으로 돌아간다.
이어서 코드를 확인해보겠다.
next 파라미터 값이 그대로 활용되어 next 변수값에 들어간 것을 확인할 수 있다. 즉, 우리는 next 변수를 통해 자바스크립트를 전달할 수 있다.
그러나 URL을 모르기 때문에 URL을 알아내보도록 하겠다.
13번째 코드를 확인해보면 url을 알 수 있다.
이제 url와 next 파라미터를 활용하여 공격을 시도해보겠다.
### 공격 코드 : https://xss-game.appspot.com/level5/frame/signup?next=javascript:alert('GOTYOU');
### 실행 결과 :
공격에 성공한 것을 확인할 수 있다. (웹 사이트 세팅 후 Next 버튼을 클릭해야 성공할 수 있다.)
'Wargame > XSS game' 카테고리의 다른 글
| XSS game (Level 6) (0) | 2022.07.19 |
|---|---|
| XSS game (Level 4) (0) | 2022.07.17 |
| XSS game (Level 3) (0) | 2022.07.16 |
| XSS game (Level 2) (0) | 2022.07.15 |
| XSS game (Level 1) (0) | 2022.07.14 |
