XSS Game - 5
[문제]
[Hints]
[답]
https://xss-game.appspot.com/level5/frame/signup?next=javascript:alert('1')
[풀이]
힌트 1: 이 5레벨의 제목(breaking protocol)
힌트 2: signup 프레임의 소스를 보아 URL인수들이 어떻게 사용되는지를 보는 것이 유용할 것이다.
힌트 3: (onclick 속성을 사용하지 않고) Javascript를 실행시키는 링크를 클릭하는 것을 만들고 싶을 때, 어떻게 할 것인가?
>> 여기서 a태그를 사용해야겠다는 결론을 도출했다.
풀이를 참고하여 문제를 풀었습니다.
url을 보면 next변수에 confirm 값이 들어가는 것을 확인할 수 있다.
이곳에 hello 값을 넣어보고 입력되는 값에 따라 <a>태그의 링크가 변화하는 것을 확인할 수 있다.
따라서 이 곳에 onclick 속성을 넣는 방법으로 문제를 해결할 수 있다.
<script>태그와 on속성을 사용하지 않고 자바스크립트를 실행시킬 수 있는 방법
javascript:(anycode)
원래는 <script>태그를 통해서 자바스크립트가 실행되지만 위와 같은 방법으로 간단하게 자바스크립트를 실행시킬 수 있다.
[결과]
(출처: xss-game-level 5 (tistory.com))
'1. Web hacking (웹 해킹) > 1) Write UP' 카테고리의 다른 글
| [2022/09/17] SQL Injection (0) | 2022.09.22 |
|---|---|
| [2021.09.18] OS Command Injection과 XXE Injection (0) | 2021.09.19 |
| [2020.11.21] XSS 게임실습 5 (0) | 2020.11.21 |
| [2020.11.14] XSS 게임실습 4 (0) | 2020.11.14 |
| [2020.11.07] XSS 게임실습 3 (0) | 2020.11.07 |
