stage13과 동일하게 아래와 같이 코드를 변경해주었다.
그랬더니 공격에 성공할 수 있었다.
stage15 : https://xss-quiz.int21h.jp/stage__15.php?sid=1eb57535b2119c5895aa4d3661d5ddc86676ba70
| [XSS Challenge] Stage 13 (0) | 2022.06.19 |
|---|---|
| [XSS Challenge] Stage 12 (0) | 2022.05.28 |
| [XSS Challenge] Stage 10 (0) | 2022.05.21 |
| [XSS Challenge] Stage 09 (0) | 2022.05.21 |
| [XSS Challenge] Stage 08 (0) | 2022.05.15 |
style 속성을 이용하는 문제이다.
stage 12와 마찬가지로 value에 1을 넣어주고, onclick속성을 이용하여 다음과 같이 alert를 넣어주었다.
그랬더니 공격에 성공할 수 있었다.
| [XSS Challenge] Stage 14 (0) | 2022.06.19 |
|---|---|
| [XSS Challenge] Stage 12 (0) | 2022.05.28 |
| [XSS Challenge] Stage 10 (0) | 2022.05.21 |
| [XSS Challenge] Stage 09 (0) | 2022.05.21 |
| [XSS Challenge] Stage 08 (0) | 2022.05.15 |
<script>alert(document.domain);</script> 을 입력해주었더니 아래와 같이 <, >이 필터링 된 것을 볼 수 있다.
onclick 속성을 이용해주어 다음과 같이 작성해주었다.
value="1" onclick="alert(document.domain);"
다음과 같이 공격에 성공할 수 있었다.
stage 13 : https://xss-quiz.int21h.jp/stage13_0.php?sid=76e8107de80d75aa1d7189c4e9008d2dce57f749
| [XSS Challenge] Stage 14 (0) | 2022.06.19 |
|---|---|
| [XSS Challenge] Stage 13 (0) | 2022.06.19 |
| [XSS Challenge] Stage 10 (0) | 2022.05.21 |
| [XSS Challenge] Stage 09 (0) | 2022.05.21 |
| [XSS Challenge] Stage 08 (0) | 2022.05.15 |
힌트에서 볼 수 있듯이 domain 문자를 필터링하고 있다.
그렇기 때문에 domain을 쓰고 싶으면 dodomainmain을 넣어주어야 한다.
따라서 dodomainmain을 이용하여 script태그를 작성해주어 입력해주었다.
"><script>alert(document.dodomainmain);</script>
그랬더니 공격에 성공할 수 있었다.
| [XSS Challenge] Stage 13 (0) | 2022.06.19 |
|---|---|
| [XSS Challenge] Stage 12 (0) | 2022.05.28 |
| [XSS Challenge] Stage 09 (0) | 2022.05.21 |
| [XSS Challenge] Stage 08 (0) | 2022.05.15 |
| [XSS Challenge] Stage 07 (0) | 2022.05.15 |