728x90
웹사이트에 아무값이나 넣어보면
다음과 같이 입력한 숫자만큼 타이머가 작동하고 시간이 끝나면 Time's up! 이라는 문자열이 alert를 통해서 출력됩니다.
확인을 누르면 타이머를 설정할수 있는 페이지로 돌아갈수있는 버튼이 생기고 이걸 클릭하면
첫 페이지로 돌아옵니다.
이제 웹사이트를 분석해봐야합니다.
http://www.xssgame.com/f/WrfpuKFX8GNr/?
첫 페이지 URL
http://www.xssgame.com/f/WrfpuKFX8GNr/?timer=3
3을 입력했을때 URL
값을 4로 입력하면 URL 뒤에 붙는 숫자도 4로 바뀌고
타이머가 작동하는 두번째 페이지에서 이 부분이 4로 바뀝니다.
타이머 함수에 전달하는 데이터가 바뀌는것으로 보이는데, 이 2번째줄을 잘보면 img 태그를 통해서 작성된 스크립트입니다. 이 뒤에 alert함수가 동작할수 있도록 입력값을 바꾸면 alert 함수가 작동할수 있을것 같습니다.
4'); alert('1
다음과 같이 입력값을 바꾸면 onload 태그 뒤에 alert함수를 성공적으로 삽입할수 있을것으로 보입니다.
이 코드를 입력하면
다음과 같이 성공적으로 alert함수가 삽입되어서
성공한것을 확인할수 있습니다.
728x90
'워게임 > xssgame.com' 카테고리의 다른 글
| [xssgame] Angular 2 (0) | 2022.06.07 |
|---|---|
| [xssgame] Angular (0) | 2022.06.07 |
| [xssgame] Google Reader (0) | 2022.06.07 |
| [xssgame] Gallery (0) | 2022.06.06 |
| [xssgame] Foogle (0) | 2022.06.06 |