2023. 1. 20. 17:24ㆍ카테고리 없음
저는 선린인터넷고에서 진행하는 동아리 캠프를 참여하였는데요
그때 HTTP와 HTTPS의 개념을 배우고 드림핵에 있는 문제들을 실습하며 cookie문제를 비롯한 많은 문제를 접하게 되었습니다. 접해보니 어려웠지만 많이 신기하기도 하였습니다. 어떠한 사이트에 로그인한 후 session값을 복사해 로그인되지 않은 탭에 붙여 넣기 했더니 로그인된 실습이 가장 기억에 남습니다. 그 수업을 통해 연습을 많이 해보고 한 문제 한 문제씩 만나봐야 지금보다 더 잘할 수 있다는 생각이 들어 xss를 접하게 되었습니다.
아래 사이트를 들어가면 xss게임이라는 사이트로 연결이 되는데요
XSS game
Welcome, recruit! Cross-site scripting (XSS) bugs are one of the most common and dangerous types of vulnerabilities in Web applications. These nasty buggers can allow your enemies to steal or modify user data in your apps and you must learn to dispatch the
xss-game.appspot.com
처음 들어갔을 때 아래와 같은 화면이 뜹니다.
저는 처음 들어갔을 때 매우 당황했지만 생각을 잘 해보면 그리 어려운 문제는 아닙니다.
일단 두 번째 단락 아래에 자바 스크립트 alert()함수가 쓰여 있습니다.
평소 자바 스크립트를 조금 배워두었지만 막상 이 화면을 보니 머리가 멍 해지고 자바 스크립트와는 상관없는 암호 풀이 문제라는 생각이 들었지만 화면만 바뀐 자바 스크립트라고 생각하시면 좀 더 풀기 쉬우실 겁니다.
저는 이렇게 alert()함수만 써서 Search를 눌러봤는데 맞지 않는 답이더라고요
alert()
또 많은 고민을 하여 자바스크립트를 했던 식으로 앞에 <script> 태그를 붙여주었습니다.
<script>alert()</script>여기에서 script태그는 "나는 자바 스크립트를 사용할거야!"라는 선언입니다.
그랬더니 문제가 풀리게 되었습니다.
