728x90
이번 포스트에서는 XSS game의 Level 6 문제를 풀어보도록 하겠다.
문제에 들어가면 다음과 같은 화면이 보인다.
## 문제 해석 :
웹 사이트가 외부 파일을 요청해서 alert()을 실행하게 하면 된다.
## 문제 풀이 :
코드를 먼저 확인해보겠다.
43번째 코드를 확인해면 #뒤에 오는 값이 그대로 gadget의 경로로 활용된다고 한다.
그럼 바로 한 번 확인해보겠다.
### 공격 코드 : https://xss-game.appspot.com/level6/frame#GOTYOU
### 실행 결과 :
GOTYOU가 화면에 출력된 것을 확인할 수 있다.
그럼 Data Url Schema라는 기법을 통해 공격을 시도해보겠다.
Data Url Schema : 데이터를 URL 표현으로 바꾼다.
사용법은 data: [자료타입], [데이터] 형식으로 작성하면 된다.
우리는 자바스크립트를 활용할 것이기 때문에 자료타입은 "text/javascript"가 되겠다.
### 공격 코드 : https://xss-game.appspot.com/level6/frame#data:text/javascript,alert('GOTYOU')
### 실행 결과 :
공격에 성공한 것을 확인할 수 있다.
'Wargame > XSS game' 카테고리의 다른 글
| XSS game (Level 5) (0) | 2022.07.18 |
|---|---|
| XSS game (Level 4) (0) | 2022.07.17 |
| XSS game (Level 3) (0) | 2022.07.16 |
| XSS game (Level 2) (0) | 2022.07.15 |
| XSS game (Level 1) (0) | 2022.07.14 |
