개발자 도구를 확인해보니,
text 값을 입력 받으면, script 태그 안에 document.write을 이용하여 작성된 글을 그대로 출력하고 있다.
입력 받은 스크립트는 출력 시엔 필터링 되지 않았지만,
스크립트 내부에는 필터링 되어있는 것을 확인할 수 있었다.
<, > 를 필터링하고있기 때문에 이를 우회할 수 있는 방법을 찾아야한다.
16진수 표기법을 사용하여 표현해보자
< : \x3c
> : \x3e
\ 가 필터링 되기 때문에 두 개씩 써서 다시 실행시켜줘보자.
성공! 다음 단계로 넘어가자.
'Web Hacking > Write Up' 카테고리의 다른 글
| [Lord of SQLInjection] gremlin (1) | 2023.12.20 |
|---|---|
| [XSS Challenges] Stage #19 (0) | 2023.12.20 |
| [XSS Challenges] Stage #14 (0) | 2023.12.20 |
| [XSS Challenges] Stage #13 (0) | 2023.12.20 |
| [XSS Challenges] Stage #12 (0) | 2023.12.20 |
