페이지 소스코드를 살펴보았다.

 

 input에 script태그를 넣어주고 코드를 다시 살펴보았는데 아래와 같이 <,>가 필터링되고 있었다. 따라서 태그를 이용하면 안된다.

 

힌트에서 이벤트 속성을 사용하라고 했기 때문에 onclick 속성을 이용해보았다.

 

아래와 같은 입력을 통해 공격에 성공할 수 있었다.

"onclick="alert(document.domain)

 

https://xss-quiz.int21h.jp/stage07.php?sid=ed0b1728935508a7e673590e5f25caa6506233b2

'Web Hacking > XSS Challenge' 카테고리의 다른 글

[XSS Challenge] Stage 08  (0) 2022.05.15
[XSS Challenge] Stage 07  (0) 2022.05.15
[XSS Challenge] Stage 05  (0) 2022.05.07
[XSS Challenge] Stage 04  (0) 2022.04.30
[XSS Challenge] Stage 03  (0) 2022.04.29

+ Recent posts

티스토리툴바