[XSS Challenges] Stage #5 풀이

사이트 주소 : http://xss-quiz.int21h.jp 

 

 

5번 문제입니다.

 

[문제 접근]

text 타입의 input 필드가 보입니다. 

공격 구문 입력을 시도해보면, 글자가 아래처럼 d 이후에 더이상 입력되지 않습니다.

 

개발자 도구(F12)를 통해 해당 필드의 maxlength를 확인해보면, 아래와 같이 15 으로 나타납니다.

글자가 15글자까지만 입력 가능한 상태입니다.

공격 구문을 넣을 수 있는 크기만큼 넉넉하게 maxlength를 늘려줍니다. 0을 하나 더 붙여 150으로 하겠습니다.

 

이제 XSS 공격 구문을 입력해서 공격을 할 수 있게 되었습니다.

 

 

[문제 정답]

정답 : "><script>alert(document.domain)</script><"

 

팝업에 도메인 주소가 나타납니다. 정답!

 

Congratulations!! 다음 스테이지로 넘어가시죠~

 

참고로 개발자 도구 이외에도 프록시 도구로 화면이 호출될 때의 Response 패킷에서

maxlength를 수정하는 방법도 있습니다. 개발자 도구가 더 편리하니까 생략하겠습니다.

 

 

이 문제는 input 필드의 maxlength 값을 변조하여 공격을 시도하는 것이 포인트입니다.