XSS-Game Level 5

설명(번역)

교차 사이트 스크립팅은 데이터를 올바르게 이스케이프 하는것만 이 아닙니다.때때로 공격자는 새로운 요소를 DOM에 삽입하지 않고도 악의적인 행위를 할 수 있습니다.

 

임무목표:  alert() 응용 프로그램 컨텍스트에서 팝업 스크립트를 삽입하십시오

 

마치 google 엔진과 유사한 가입 페이지가 확인됩니다. URL이나 email 입력 폼에 script 구문을 삽입해도 아무런 반응이 보이지 않습니다. 

 

..
..

<script>
      setTimeout(function() { window.location = '{{ next }}'; }, 5000);
 </script>

..
..

소스에서 뭔가 정답이나 올 것 같은 영역이 존재합니다. confirm.html 소스 안에 기능적으로 사용되는 함수가 보입니다. 해당 영역이 어떤 상관관계가 있는지 파악하기 위해 timeout / location / next 등을 파악해봐야 합니다.

 

..
..

<a href="{{ next }}">Next >></a>

..
..

singup.html 소스를 확인해보면 "Next >>" 영역은 링크 태그로 사용되고 있습니다, 이 말은 즉슨 Next >> 링크 클릭 시

"confirm" 인자를 받아 넘어가게 되는 것을 의미합니다.

 

그럼 답은 나왔습니다. Next 버트 클릭 시 "confirm" 인자가 아닌 javascript 구문으로 넘어가 실행되게끔 조금 수정해주면 됩니다.

 

해당 문제의 경우 처음에 감이 잘 안 잡혀서 힌트를 읽어봤는데 힌트 3번 항목에서 눈치챌 수 있었습니다.  링크 태그를 사용하여 javascript 를 실행시키기 위해선 "onclick" 함수나 javascript:;" 함수를 사용해야 되는데, 힌트에서 "onclick" 함수를 제외한 것이라 얘기했으니 딱 알 수 있죠

 

힌트

1. 이 레벨의 제목은 힌트입니다.

2. 가입 프레임의 소스를 보고 URL 매개 변수가 사용되는 방식을 보는 것이 유용합니다.

3. 링크를 클릭하여 javascript 가 실행되도록 하려면 ( onclick처리기를 사용하지 않고 ) 어떻게 할 수 있습니까?

4. 정말 막혔다면이 IETF 초안을 살펴보세요

 

Exploit Code

javascript:alert(1)

javascript:alert("xss");

javascript:alert('xss')