web hacking.kr 23번 문제

web hacking.kr 23번 문제 풀이

xss 를 하기 위해 확인하는 <script>alert('test')</script>

를 입력하는 문제입니다.

여러번 입력을 하다 보면 

문자열이 입력 되면 no hack을 출력합니다.

즉 일정 문자를 필터링 하는것이 아니라 

문자가 이어져 나오는 즉 문자열을 필터링 한다는 것을 알 수 있습니다.

이 필터를 우회 하는 방법으로는 %00 이 있는데요 null 값을 문자와 문자

사이에 넣어주면 됩니다.

html 에서는 %00 을 인식 하지 못하고 필터에서는 %00 을 인식해서

문자열이 아닌걸로 인식 하는것 같습니다.

http://webhacking.kr/challenge/bonus/bonus-3/index.php?code=%3C%00%00s%00c%00r%00i%00p%00t%00%3E%00a%00l%00e%00r%00t%00(%001%00)%00;%00%3C%00/%00s%00c%00r%00i%00p%00t%00%3E