-
[SISS/웹해킹 스터디] 겨울학기 4주차 스터디 - XSS game Level 4~525-겨울 SISS/웹해킹 2025. 1. 27. 12:30
겨울학기 4주차 스터디 - XSS game Level 4~5 : 4주차 (1/27 ~ 2/2) [XSS game] Level 4, 5]
Level 4
- alert 실행하기
- 문제
- 입력한 값이 URL의 뒤에 전달됨 → ?timer=3
- startTimer() 함수를 {{ timer }}를 통해 실행 → startTimer(’{{ timer }}’);
- startTimer()에서 alert()를 실행할 수 있도록 입력
- 첫 번째 시도 → 실행 후 0') 이후 입력이 실행되지 않음을 확인
- startTimer(’0’);onerror=alert(’siss’); 가 되도록 입력
- ?timer=0');onerror=alert('siss
- startTimer(’0’);onerror=alert(’siss’); 가 되도록 입력
- 두 번째 시도
- ; (필터링된 문자)을 인코딩
- ?timer=0')%3Bonerror=alert('siss
- 첫 번째 시도 → 실행 후 0') 이후 입력이 실행되지 않음을 확인
- 문제
Level 4 문제 
Level 4 첫 번째 시도 
Level 4 두 번째 시도 Level 5
- alert() 실행하기
- 문제
- confirm.html
- <script>에서 {{ next }}를 이용하여 window.location을 사용함을 확인
- signup.html
- Next >> 링크를 누를 경우 next= 뒤에 입력된 {{ next }}로 이동함을 알 수 있음
- next=confirm → confirm.html 페이지로 이동
- confirm.html
- 풀이
- next 뒤에 alert() 입력 → next=javascript:alert('siss');
- 문제
Level 5 confirm.html 
Level 5 signup.html 
Level 5 풀이 '25-겨울 SISS > 웹해킹' 카테고리의 다른 글
[SISS/웹해킹 스터디] 겨울학기 6주차 스터디 - Natas 02 >> 03, 03 >> 04 (0) 2025.01.31 [SISS/웹해킹 스터디] 겨울학기 5주차 스터디 - Natas 0, 00 >> 01, 01 >> 02 (0) 2025.01.30 [SISS/웹해킹 스터디] 겨울학기 3주차 스터디 - XSS game Level 1~3 (0) 2025.01.26 [SISS/웹해킹 스터디] 겨울학기 2주차 스터디 - 마무리 (0) 2025.01.17 [SISS/웹해킹 스터디] 겨울학기 1주차 스터디 - SSRF (0) 2025.01.11 - alert 실행하기