본문 바로가기
  • True knowledge exists in knowing that you know nothing. -Socrates-
Study/webhacking.kr

web hacking.kr 23번 문제

by intadd 2016. 12. 11.



web hacking.kr 23번 문제 풀이



xss 를 하기 위해 확인하는 <script>alert('test')</script>

를 입력하는 문제입니다.




여러번 입력을 하다 보면 

문자열이 입력 되면 no hack을 출력합니다.

즉 일정 문자를 필터링 하는것이 아니라 

문자가 이어져 나오는 즉 문자열을 필터링 한다는 것을 알 수 있습니다.


이 필터를 우회 하는 방법으로는 %00 이 있는데요 null 값을 문자와 문자

사이에 넣어주면 됩니다.

html 에서는 %00 을 인식 하지 못하고 필터에서는 %00 을 인식해서

문자열이 아닌걸로 인식 하는것 같습니다.




http://webhacking.kr/challenge/bonus/bonus-3/index.php?code=%3C%00%00s%00c%00r%00i%00p%00t%00%3E%00a%00l%00e%00r%00t%00(%001%00)%00;%00%3C%00/%00s%00c%00r%00i%00p%00t%00%3E




'Study > webhacking.kr' 카테고리의 다른 글

webhacking.kr 5번 문제  (0) 2017.03.01
webhacking.kr 26번 문제 풀이  (0) 2016.12.11
webhacking.kr level4  (1) 2016.08.29
webhacking.kr level1  (0) 2016.08.29
webhacking.kr 회원 가입  (0) 2016.08.16

댓글