[XSS Challenges] Stage #1 풀이

XSS(Cross-Site-Script)는 OWASP Top 10 2017 버전에 포함되어 있는 주요한 웹 취약점 입니다.

javascript를 사용하여 쿠키 정보를 탈취하거나, 웹 페이지의 UI를 파괴가 가능하기 때문에 조치가 필수로 필요합니다.

Reflected XSS, Stored XSS, Dom XSS가 있습니다.

실무적으로도 XSS는 타 취약점보다 자주 나타나고 있어 점검 방법 및 대응 방안을 익혀두시면 좋습니다.

 

XSS를 익힐 수 있는 XSS Challenges 사이트를 통해 천천히 학습을 해보겠습니다.

사이트 주소 : http://xss-quiz.int21h.jp 

 

 

우선 1번 문제입니다.

[문제 구성]

문제의 구성을 살펴보면, 

1. 아래 알림을 보면 XSS 이외의 취약점 공격은 하지 말라고 하네요. 또 Appscan과 같은 스캐닝 도구를 사용하는 것을 경고합니다. 마지막으로 일부 스테이지의 경우 IE 브라우저에 적합하다고 알려줍니다.

 

2. 랭킹 등록을 하고 싶은 경우에 스테이지 1 전에 등록하라고 합니다. (저는 우선 그냥 하겠습니다..)

총 20번 스테이지까지 있고, 원하시는 분은 완료한 스테이지 까지 닉네임을 남겨 둘 수 있습니다.

 

3. 문제는 Javascript의 alert(document.domain); 을 입력하여 팝업창 내에 domain 주소를 띄우게 하면 성공으로 간주됩니다.

4. 문제가 어려운 분은 Hint 부분을 드래그하여 힌트를 얻을 수 있습니다.

(되도록 안 보고 하면 좋겠습니다만 막히면 드래그 확인 하시죠~)

 

5. 문제를 풀 수 있는 입력 폼 들이 구성되어 있습니다.

이 부분에 공격을 시도하여 문제를 풉니다.

 

 

 

[문제 접근]

1번 문제는 아주 기본적입니다. 가장 기초적인 공격 구문을 시도해보세요.

 

 

 

[문제 정답]

정답 : <script>alert(document.domain)</script>

팝업에 도메인 주소가 나타납니다. 정답!

 

Congratulations!! 다음 스테이지로 넘어가시죠~

 

이 문제는 아주 기본의 XSS 공격 구문을 익히는 것이 포인트입니다.