XSS-Game Level 4

설명(번역)

사용자가 제공 한 모든 데이터는 데이터가 표시될 페이지의 컨텍스트에 맞게 올바르게 이스케이프 되어야 합니다.이 수준은 이유를 보여줍니다.

 

임무목표 : 스크립트를 삽입 alert() 하여 애플리케이션에서 JavaScript를 팝업 합니다.

 

Create timer라는 폼에 해당 숫자를 입력하여 타이머("초"단위) 시간 지난 후 다시 리다이렉션 해주는 페이지로 확인됩니다. URL이나 Create timer 폼에 악의적인 스크립트 문을 삽입해도 실행이 되지 않고 있습니다.

 

 ..
 ..
 
 <body id="level4">
    <img src="/static/logos/level4.png" />
    <br>
    <form action="" method="GET">
      <input id="timer" name="timer" value="3">
      <input id="button" type="submit" value="Create timer"> </form>
    </form>
  </body>
  
  ..
  ..

타이머 폼을 입력해보면 timer 라는 매개변수가 사용되고 있는 것을 확인

 

..
..

<br>
    <img src="/static/loading.gif" onload="startTimer('{{ timer }}');" />
<br>

..
..

소스를 확인해보면 onload 속성에 정의해둔 startTimer 함수가 호출되고 timer 인자 값이 들어가 실행하는 것을 확인할 수 있습니다. 즉

https://xss-game.appspot.com/level4/frame?timer=('{{ timer }}');  형태로 전달이 되는 것 같은데 저 값에 경고창을 띄우기 위해선 alert()가 삽입되어야 하기 때문에 코드를 조금 전 단계와 다르게 수정작업이 필요합니다.

 

소스에 value는 3으로 지정되어 있으니 time=3 형태로 정상수행되도록 작성후 그 이후에 alert 창이 수행되어야 하니

" + " 를 통해 alert가 수행되도록 연결해주시면 됩니다.

 

 

힌트

1.startTimer 함수가 어떻게 호출 되는지 살펴보십시오.

2. 브라우저가 태그 속성을 구문 분석할 때 먼저 해당 값을 HTML 디코딩합니다. <foo bar = 'z'>는 <foo bar = '& # x7a;'와 동일합니다.

3. 작은 따옴표 ( ')를 입력하고 오류 콘솔을 보십시오.

 

Exploit Code

URL --> 3%27%29%2Balert%28%27XSS  # URL을 통해 전송시에는 웹이 이해할 수 있도록 인코딩 수행

Form --> 3')+alert('XSS