공격코드를 쓰면 input창에 그대로 나타난다.
힌트를 보니 event handler attributes라 써있길래 event 속성을 쓰는건가 싶어 onclick 속성을 써보기로 했다.
공격에 실패해 이번에는 input창에 써보기로 했다.
"><script>alert(document.domain);</script>
search를 누르고 input창을 클릭하자 공격에 성공했다. ">를 써주지 않으면 공격에 실패한다. 소스코드에서도 ">을 빼먹어서 실패했나 싶어서 같은 공격코드로 공격했는데 실패했다.
'Web Hacking > XSS challenge' 카테고리의 다른 글
| [XSS challenge] Stage #8 (0) | 2021.05.09 |
|---|---|
| [XSS challenge] stage #7 (0) | 2021.05.09 |
| [XSS challenge] Stage #5 (0) | 2021.04.10 |
| [XSS challenge] stage #4 (0) | 2021.04.02 |
| [XSS challenge] Stage #3 (0) | 2021.04.02 |