Stage #1 입장!
해당 Stage에서 해야하는 일은 alert(document.domain);을 실행시키는 것이다.
Stage #1에 들어오면 사용자 입력을 받을 수 있는 Search창이 있다.
XSS 공격은 사용자의 입력으로 실행된다.
따라서 사용자의 입력을 받을 수 있는 Search창의 보안 취약점을 찾기 위해 일단 아무 값이나 입력해봤다(hi 입력).
사용자의 입력이 Search창 아래에 출력됐다.
특별한 변경사항이 없는지 확인하기 위해 개발자도구를 실행했다.
개발자도구를 열어보면 Search form아래에 <b>태그로 감싸진 사용자 입력이 생긴 것을 알 수 있다.
사용자 입력이 아무런 필터링 없이 소스코드에 그대로 노출되고 있다.
따라서 script코드를 삽입하면 alert(document.domain); 를 실행시킬 수 있을 것이다.
Search창에 다음과 같이 입력하면 된다.
Challenge를 성공적으로 수행했다!
'Study > Web Hacking' 카테고리의 다른 글
| [natas] Level 2 -> Level 3 (0) | 2021.04.01 |
|---|---|
| [XSS Challenge] Stage #2 (0) | 2021.03.27 |
| [LOS] gremlin (0) | 2021.03.27 |
| SQL Injection (0) | 2021.03.26 |
| [natas] Level 0 ~ Level 1 -> Level 2 (0) | 2021.03.26 |