힌트로 주어진 문자열에서 양 끝을 감싸는 큰따옴표(")를 제외하고 입력했더니
역슬래시(\)가 사라지고 <>기호와 " ' 기호 모두 사라졌다. < >를 우회해야 하는 것 같다.
<를 입력했더니
<로 변환되었다.
"를 입력했더니
" 로 변환되었다.
이렇게 입력해 보았으나
변환만 될 뿐, 아무 일도 일어나지 않았다.
검사 페이지를 보면 큰따옴표(")로 아주 잘 둘러싸여 있음을 알 수 있다.
Grave accent obfuscation이라는 방법이 있다고 한다. 큰따옴표나 작은따옴표 모두를 사용해야 할 때 활용할 수 있을 것이라고 한다. 많은 xss 필터들이 grave accents(`)에 대해 잘 몰라서 유용하다고 한다.
(출처: https://owasp.org/www-community/xss-filter-evasion-cheatsheet#UTF-7_encoding%3E)
크롬으로 접속한 상태로 ``onclick=alert(document.domain);을 입력하였지만 입력한 것이 그대로 유지되고 입력칸을 아무리 클릭해도 반응이 없었다. 검색을 해보니 IE에서만 작동된다고 한다.
IE로 접속하여 ``onclick=alert(document.domain); 을 입력하였다.
'SISS > Natas,LOS, XSS' 카테고리의 다른 글
| LOS 17 succubus (0) | 2020.08.19 |
|---|---|
| Natas 25 → 26 (0) | 2020.08.17 |
| LOS 16 zombie_assassin (0) | 2020.08.11 |
| Natas 24 → 25 (0) | 2020.08.11 |
| XSS Challenges 11 (0) | 2020.08.04 |
