[XSS Challenges] Stage #9

문제

이제는 개발자 도구부터 확인해보자!

 

텍스트 박스 밑에 hidden 값으로 input 태그가 하나 더 있는 것을 확인했다.

 

value 값이 euc-jp 인데 이게 뭔지 찾아보니 '멀티 바이트를 사용하여 일본어를 표현하기 위한 인코딩 방식' 이라고 한다.

우리는 대부분 유니코드 인코딩 방식을 사용하기 때문에 UTF-8을 사용하는데

문제 풀이에 감이 잡히지 않아, 힌트를 확인해보았다.

 

UTF-7을 이용하라는 거 같은데 왜 굳이 UTF-7일까?

 

UTF-7 : 7비트 아스키 문자로 변경

페이지 참고 : https://www.urlencoder.org

 

위의 인코딩문자를 이용하여 스크립트를 작성해줘보자.

 

value 값은 UTF-7로 변경해주고

 

인코딩 사이트에서 스크립트를 변환해주었다.

 

alert가 안뜨길래 찾아보니 크롬브라우저에서는 따로 안된다고 한다 ..!

 

그렇다면 다른 방법으로 풀어봐야겠다.

(내가 푼 방법은 밑에 url 에 걸려있는 하이퍼링크를 stage08에서와 같이 javascript 코드로 변환하여 풀었다)

성공! 다음 단계로 넘어가자.