마지막 문제도 마찬가지로 alert창을 띄워야 한다.
위의 코드를 보면 url의 # 뒤의 gadget.js 파일을 불러온다.
# 뒤의 내용을 바꾸면 그 내용을 출력한다.
# 뒤에 공격 코드를 주입해야 하는 것 같다.
외부 데이터를 url로 불러올 수 있는 data URL Scheme 기법을 이용하여 javascript 코드를 주입할 수 있다.
'data:text/javascript,js코드'의 형태로 javascript 코드를 실행할 수 있으며
data:text/javascript,alert(1); 을 # 뒤에 주입하면 문제가 해결된다.
'Security & Hacking > Wargame' 카테고리의 다른 글
| [Wargame.kr] flee button (0) | 2019.08.25 |
|---|---|
| [Wargame.kr] already_got (0) | 2019.08.25 |
| [XSS game] Level 5 (0) | 2019.08.08 |
| [ XSS game] Level 4 (0) | 2019.08.07 |
| [XSS game] Level 3 (0) | 2019.08.06 |