[XSS Challenge] Stage 06

 

페이지 소스코드를 살펴보았다.

 

 input에 script태그를 넣어주고 코드를 다시 살펴보았는데 아래와 같이 <,>가 필터링되고 있었다. 따라서 태그를 이용하면 안된다.

 

힌트에서 이벤트 속성을 사용하라고 했기 때문에 onclick 속성을 이용해보았다.

 

아래와 같은 입력을 통해 공격에 성공할 수 있었다.

"onclick="alert(document.domain)

 

https://xss-quiz.int21h.jp/stage07.php?sid=ed0b1728935508a7e673590e5f25caa6506233b2