-
내 미션은 스크립트를 주입하는 것.
전과 같이 그대로 <script> 구문을 쳐보았으나 no hack 이란 문구가 뜨며 아무일도 일어나지 않았다...
개발자도구를 활용하여 <script> 구문을 삽입해보았으나 아무일도 없었다
URL에 <script> 구문을 넣어보았으나 아무일도 없었다
<script> 구문이 필터링 되는 듯하다
s만 쳐보니 그대로 출력된다
연속된 문자열이 검열되는 것 같다!
HTML entity encoder/decoder 을 활용해보았으나 아무일도 없었다
문자열 검열 우회에 대해 구글링 해보자
이 사이트를 참조했다!
xss (Cross Site Scripting)
XSS는 웹 브라우저에서 동작하는 악의적인 스크립트이다. 일반적으로 사용자의 개인정보, 쿠키탈취등을 한다. 대부분 XSS취약점을 진단하고자 할 때 와 같은 형태로 공격구문을 넣는다. 이를 우
4rgos.tistory.com
연속된 문자열 검열을 우회하기 위해서는 NULL문자를 인코딩한 %00을 문자 사이에 쓰면 된다고 한다!
URL에
<s%00c%00r%00i%00p%00t%00>a%00l%00e%00r%00t%00(1);</s%00c%00r%00i%00p%00t%00>
를 입력해보자
성공!
'Hacking > WarGame' 카테고리의 다른 글
XSS challenge : #1 ~ #5 (0) 2021.07.03 Root-me : CSRF - 0 protection (0) 2021.07.03 XSS Game - Level 1, 2 (0) 2021.05.20 Webhacking.kr - Challenge 33 (0) 2021.05.04 Webhacking.kr - Challenge 6 (0) 2021.05.03 댓글
