XSS-game 2번

Web_hacking/XSS-game

KSJ._.seven11 2022. 12. 31. 21:16

전형적인 <script> 코드를 먼저 써 보았다.

<script>alert(1)</script>

작동하지 않는 것을 확인할 수 있으며 이로써 <script> 코드는 필터링이 되어있음을 추측할 수 있다.

그럼 힌트를 봐 보자.

역시 <script> 코드는 작동할 수 없음을 나타내고 있다.

이럴때는 역시 구글링이 짱이다.

xss

■xss(Cross-site Scripting)란??- 특정 웹 페이지의 허점을 찾아 자바스크립트를 사용하여 타인의 정보를 빼가는 공격! ■xss 공격의 예- 태그 등을 form 입력 페이지 등을 통해 서버 DB에 저장시킨다. - 공

jithub.tistory.com

공격코드 예시중 <img onerror="공격코드">가 있음을 확인할 수 있다.

그렇다면

<img onerror="alert("Attack Sucess)">

코드를 넣으면 되는 걸까?

그래도 실패함을 확인할 수 있다.

조금 더 변형해서

<img src="#".jpg onerror="alert('Attack Success')">

없는 이미지인 #을 불러온 다음 Onerror 구문을 실행시켜 보겠다.

// 위에 코드에서는 이미지 #.jpg를 불러오는데 실패할 경우 뒤에 onerror 코드가 작동한다 라는 뜻이다.

성공!!!

점점 구글링에 힘이 더 오가고 있다.