https://xss-game.appspot.com/level6아래와 같이 URL중 #뒷부분이 화면에 문자열로 출력되는 것을 확인할 수 있다.코드내에서 확인을 해보면 아래의 URL에 대입이 되어 위에 사진처럼 나오는 것 같다.그렇다면, '#'뒤를 조작하면 XSS 공격이 수행될 듯 하다.Hint를 확인해보았다.3번을 보니 나도 지금 소리지르고 싶다...4번을 보고, 해당 주소를 확인해 보았다.https://www.google.com/jsapi?callback=alert파라미터 값으로 alert를 문자열로 alert() 해주고 있는 것을 확인할 수 있다.해당주소를 떙겨와서 붙혀주면 문제가 풀리는줄 알았지만, 안된다..소스를 확인해보니 "http" 를 필터링해주고 있다.그래서 Https:..........
원문링크 : XSS-game/Level 6: Follow the
네이버 블로그
티스토리
커뮤니티