URL을 입력하면 링크를 만들어준다.
href값이 들어간 경우 Javasript:를 사용하면 자바스크립트가 실행된다.
정답 :
Javascript:alert(document domain);
| [XSS Challenges] Stage #10 (0) | 2020.11.19 |
|---|---|
| [XSS Challenges] Stage #9 (1) | 2020.11.19 |
| [XSS Challenges] Stage #7 (0) | 2020.11.19 |
| [XSS Challenges] Stage #6 (0) | 2020.11.17 |
| [XSS Challenges] Stage #5 (0) | 2020.11.17 |
7번
6번문제에 "가 추가적으로 필터가 된다.
"><script>alert(document.domain)</script> 를 입력해보았다.
<>"가 필터링되어 XSS가 실행 되지않는다.
<>"를 사용하지 않고 XSS를 실행 시켜야 한다.
6번이랑 정답이 똑같다.
XSS에 "를 사용하지 않았으므로 6번이랑 정답이 똑같다.
event handler를 사용하면 할 수 있다.
" onfocus =alert(document.domain); autofocus
portswigger.net/web-security/cross-site-scripting/cheat-sheet
Cross-Site Scripting (XSS) Cheat Sheet - 2020 Edition | Web Security Academy
Interactive cross-site scripting (XSS) cheat sheet for 2020, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors.
portswigger.net
| [XSS Challenges] Stage #9 (1) | 2020.11.19 |
|---|---|
| [XSS Challenges] Stage #8 (0) | 2020.11.19 |
| [XSS Challenges] Stage #6 (0) | 2020.11.17 |
| [XSS Challenges] Stage #5 (0) | 2020.11.17 |
| [XSS Challenges] Stage #4 (0) | 2020.11.17 |
6번
"><script>alert(document.domain)</script> 를 입력해보았다.
<>가 필터링되어 XSS가 실행 되지않는다.
<>를 사용하지 않고 XSS를 실행 시켜야 한다.
event handler를 사용하면 할 수 있다.
" onfocus =alert(document.domain); autofocus
portswigger.net/web-security/cross-site-scripting/cheat-sheet
Cross-Site Scripting (XSS) Cheat Sheet - 2020 Edition | Web Security Academy
Interactive cross-site scripting (XSS) cheat sheet for 2020, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors.
portswigger.net
| [XSS Challenges] Stage #8 (0) | 2020.11.19 |
|---|---|
| [XSS Challenges] Stage #7 (0) | 2020.11.19 |
| [XSS Challenges] Stage #5 (0) | 2020.11.17 |
| [XSS Challenges] Stage #4 (0) | 2020.11.17 |
| [XSS Challenges] Stage #3 (0) | 2020.11.17 |
글자 수 제한이 있다.
글자 수 제한을 수정해주면 된다.
스크립트를 입력한다.
"><script>alert(document.domain);</script>
| [XSS Challenges] Stage #7 (0) | 2020.11.19 |
|---|---|
| [XSS Challenges] Stage #6 (0) | 2020.11.17 |
| [XSS Challenges] Stage #4 (0) | 2020.11.17 |
| [XSS Challenges] Stage #3 (0) | 2020.11.17 |
| [XSS Challenges] Stage #2 (0) | 2020.11.17 |
소스코드를 열어 히든 text를 찾으면 된다.
소스코드가 히든으로 들어있다.
해당 소스코드를 text로 바꿔 웹페이지에 보이도록 했다.
"><script>alert(document.domain);</script>를 입력하여 XSS를 실행한다.
| [XSS Challenges] Stage #6 (0) | 2020.11.17 |
|---|---|
| [XSS Challenges] Stage #5 (0) | 2020.11.17 |
| [XSS Challenges] Stage #3 (0) | 2020.11.17 |
| [XSS Challenges] Stage #2 (0) | 2020.11.17 |
| [XSS Challenges] Stage #1 (0) | 2020.11.16 |
검색을 위한 텍스트 박스는 ""로 text처리가 되어 XSS가 불가능 하다.
아래 국가 옵션을 이용하여 XSS을 이용할 수 있다.
3가지 풀이법이 있다.
1. 소스코드를 수정한다.
2. 개발자 콘솔을 이용하여 XSS가 포함된 옵션을 추가한다.
3. burpsuite로 피라메터를 변경한다.
| [XSS Challenges] Stage #6 (0) | 2020.11.17 |
|---|---|
| [XSS Challenges] Stage #5 (0) | 2020.11.17 |
| [XSS Challenges] Stage #4 (0) | 2020.11.17 |
| [XSS Challenges] Stage #2 (0) | 2020.11.17 |
| [XSS Challenges] Stage #1 (0) | 2020.11.16 |
<input type="text" name = "p1" size = "50" value ="aaa"> 로값이 입력된다
value의 값에 ">을 집어 넣어 코드를 닫아주고 스크립트 구문을 입력한다.
정답 :
| [XSS Challenges] Stage #6 (0) | 2020.11.17 |
|---|---|
| [XSS Challenges] Stage #5 (0) | 2020.11.17 |
| [XSS Challenges] Stage #4 (0) | 2020.11.17 |
| [XSS Challenges] Stage #3 (0) | 2020.11.17 |
| [XSS Challenges] Stage #1 (0) | 2020.11.16 |
XSS Challenges (by yamagata21) - Stage #1
XSS Challenges Stage #1 Notes (for all stages): * NEVER DO ANY ATTACKS EXCEPT XSS. * DO NOT USE ANY AUTOMATED SCANNER (AppScan, WebInspect, WVS, ...) * Some stages may fit only IE. Ranking (optional): If you want to participate in ranking, please register
xss-quiz.int21h.jp
1번 이라 간단하다.
<script>alert(document.domain);</script>
| [XSS Challenges] Stage #6 (0) | 2020.11.17 |
|---|---|
| [XSS Challenges] Stage #5 (0) | 2020.11.17 |
| [XSS Challenges] Stage #4 (0) | 2020.11.17 |
| [XSS Challenges] Stage #3 (0) | 2020.11.17 |
| [XSS Challenges] Stage #2 (0) | 2020.11.17 |