| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- CTF
- 호스트헤더
- 인젝션
- 버그바운티
- 구글해킹
- 우버
- Googledorks
- 컨설팅
- wargame
- 정보보호관리진단
- 취약점
- 케쉴주
- game
- 케이쉴드주니어
- hackerone
- hacker101
- wargmae
- 면접후기
- 케이쉴드주니어4기
- 웹해킹
- IDOR
- report
- writeup
- 케쉴주4기
- XSS
- bugbounty
- Today
- Total
목록game (3)
Hack The World
XSS game: Level 3 Write up
3번째 문제이다. 게시판 형태에서 image 부분을 클릭하면 이미지가 바뀌고 url 상에 frame# 뒤 숫자가 해당페이지에 맞게 변경된다. 코드를 살펴보자 Take a tour of our cloud data center. Image 1 Image 2 Image 3 코드를 살펴보면 다음과같다. 중요한 부분은 html += " "; 부분인거같다. 좀더 살펴보면 frame# 뒤에 들어가는 숫자가 num 부분에 들어가는거같다. 문 안에 있으니까 해당 코드를 실행시키기 위해 ' onerror=alert(1);' 를 url 에 입력시 다음과 같이 alert 실행
XSS game: Level2 Write up
Level2 게시판에 댓글을 달수있는 페이지인거같다. 기본적으로 댓글을 입력해보니 문자열은 입력이되지만 를 필터링하는거같다. 코드를 살펴보면 다음과 같다. Chatter from across the Web. 아마도 댓글로 입력하는 부분은 html += "" + posts[i].message + "
XSS game: Level 1 Write up
wargame 에 대한 자세한 설명은 다른 블로그나 글들이 있기에 생략 Level 1 웹사이트에서 검색을 하는 페이지인거같다. 코드를 살펴보면 다음과 같다. page_header = """ """ page_footer = """ """ main_page_markup = """ """ class MainPage(webapp.RequestHandler): def render_string(self, s): self.response.out.write(s) def get(self): # Disable the reflected XSS filter for demonstration purposes self.response.headers.add_header("X-XSS-Protection", "0") if not sel..