Web_hacking/XSS-game
XSS-game 2번
KSJ._.seven11
2022. 12. 31. 21:16
전형적인 <script> 코드를 먼저 써 보았다.
<script>alert(1)</script>
작동하지 않는 것을 확인할 수 있으며 이로써 <script> 코드는 필터링이 되어있음을 추측할 수 있다.
그럼 힌트를 봐 보자.
역시 <script> 코드는 작동할 수 없음을 나타내고 있다.
이럴때는 역시 구글링이 짱이다.
출처: https://jithub.tistory.com/37
xss
■xss(Cross-site Scripting)란??- 특정 웹 페이지의 허점을 찾아 자바스크립트를 사용하여 타인의 정보를 빼가는 공격! ■xss 공격의 예- 태그 등을 form 입력 페이지 등을 통해 서버 DB에 저장시킨다. - 공
jithub.tistory.com
공격코드 예시중 <img onerror="공격코드">가 있음을 확인할 수 있다.
그렇다면
<img onerror="alert("Attack Sucess)">
코드를 넣으면 되는 걸까?
그래도 실패함을 확인할 수 있다.
조금 더 변형해서
<img src="#".jpg onerror="alert('Attack Success')">
없는 이미지인 #을 불러온 다음 Onerror 구문을 실행시켜 보겠다.
// 위에 코드에서는 이미지 #.jpg를 불러오는데 실패할 경우 뒤에 onerror 코드가 작동한다 라는 뜻이다.
성공!!!
점점 구글링에 힘이 더 오가고 있다.