728x90
xss-game Level3 write up
xss이라는 웹해킹 기술을 연습할 수 있는 사이트이다.
frame#1
level3에 들어가면 이런 화면이다. 일단 엄청 눌러보고 싶은 Image 1, 2, 3를 눌러보자!
frame#2
frame#3
위와 같이 image 버튼을 누르면 그 숫자에 따라 frame# 뒤에 숫자가 생기는 것을 알수 있다!
그러면 여기에는 존재하지 않는 4를 입력해 보자.
frame#4
입력해 보니 이미지가 깨져서 보인다. 저런식으로 이미지가 깨져서 보이는건
html에서 img태그를 사용할때 src에 저장되어 있는 파일경로에 그 해당 이미지가 존재하지 않을때 나타난다.
여기서 우리는 이미지가 깨져서 나올때 즉 에러가 떳을때 실행시키는 onerror 라는것을 사용할 수 있다.
예를 들어 위와 같이 적게 된다면 aaa.jpg 라는 파일이 없을때 "alert()"를 실행시킨다는 것이다.
그렇다면 한번 그대로 입력을 해보자.
이미지가 존재하지 않는 frame#4에 onerror="alert()"를 적어 주어 성공적으로 실행되는 것을 볼수 있다!!
+추가
여기서 중요한건 script부분의 html +="img<>"부분이다. frame# + num + .jpg 이라고 마감처리는 해주고, # 뒤의 값을 가져 와서 붙여 주는 것을 알 수 있다. 그러므로 frame#4.jpg' onerror="alert()"' 이런식으로 적으면 되는 것이다.
728x90
'해킹 > 웹해킹' 카테고리의 다른 글
| [LOS] 3번 goblin write up (0) | 2021.06.06 |
|---|---|
| [LOS] 2번 cobolt write up (0) | 2021.06.06 |
| 정규표현식 / 주로 사용하는 정규표현식 (0) | 2021.06.06 |
| [LOS] 1번 gremlin write up (0) | 2021.06.06 |
| SQL Injection (0) | 2021.06.03 |
