[XSS Game] Level 2

 

 

문제를 읽어보니 저번 단계와 마찬가지로 스크립트를 삽입하여 alert 팝업창을 띄우라고 한다.

 

 

 

 

 

 

일단 Level 1에서 했던 것과 마찬가지로 스크립트를 넣어보았는데 아무것도 출력되지 않았다.

이를 통해 스크립트 태그를 필터링하고 있다는 것을 확인할 수 있다.

 

 

검색을 통해 스크립트 필터링을 우회할 수 있는 방법을 찾아보니 몇가지 방법이 있었다.

 

 

 

 

처음엔 스크립트 태그의 대소문자를 바꿔서 삽입해보았지만 똑같이 아무것도 출력되지 않았다.

 

 

 

 

두번째로는 onerror를 사용해보았다. 

저 코드를 해석해보면 none.jpg라는 파일이 없을 시 alert 팝업이 뜨며 괄호 안의 내용을 출력한다는 내용이다.

참고해온 곳에서 그대로 가져와서 document.domain이라 입력했었는데 이것 대신에 아무 내용이나 적어도 상관없다.

 

 

 

 

위에 처럼 내용을 작성한 뒤 버튼을 누르면 위와 같이 팝업이 뜨며 문제를 해결했다고 뜬다.

 

 

이 문제에서는 onerror를 사용했지만 스크립트를 실행을 유도하는 태그로는 onerror 말고도 onload, onfocus 등도 존재한다.

각각 필요와 상황에 따라 적당한 태그를 사용하면 될 듯 싶다.