[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 5 - write up

< 공지 사항 XSS 가능 여부 확인: Stored XSS >

 

1. 공지 사항 게시판에 글 작성
   (XSS 1과 동일)
   
   
   
2. 특수문자 <’”> 출력 테스트

    contents 부분에 특수문자가 그대로 출력됨을 확인

    -> contents 부분에 공격 스크립트 삽입

 

3. 공격 스크립트 삽입

    공격 스크립트: kkkk<script>alert(1)</script>

     Request: body 부분에 공격 스크립트 삽입

    1이 쓰여있는 alert 뜸

 

 

4. XSS 공격 성공

    1이 쓰여있는 alert 뜸
    = 스크립트가 제대로 동작하여, XSS 공격이 성공했다는 걸 알려줌

    -> ‘공지 사항’ 글쓰기 페이지 내용 부분에서  XSS 취약점 찾음