문제 풀이 Mission Description Complex web applications sometimes have the capability to dynamically load JavaScript libraries based on the value of their URL parameters or part of location.hash. 복잡한 웹 애플리케이션에는 URL 매개변수 또는 location.hash의 일부 값을 기반으로 JavaScript 라이브러리를 동적으로 로드하는 기능이 있는 경우가 있습니다. This is very tricky to get right -- allowing user input to influence the URL when loading scripts or other po..

문제 풀이 Mission Description Cross-site scripting isn't just about correctly escaping data. Sometimes, attackers can do bad things even without injecting new elements into the DOM. 사이트 간 스크립팅은 데이터를 올바르게 이스케이프하는 것이 그냥은 아닙니다. 때때로 공격자는 DOM에 새로운 요소를 삽입하지 않고도 나쁜 일을 할 수 있습니다. Mission Objective Inject a script to pop up an alert() in the context of the application. 스크립트를 삽입하여 애플리케이션 컨텍스트에서 alert()를 출력합니다...

문제 풀이 Mission Description Every bit of user-supplied data must be correctly escaped for the context of the page in which it will appear. This level shows why. 사용자 제공 데이터의 모든 비트는 표시될 페이지의 컨텍스트에 맞게 올바르게 이스케이프되어야 합니다. 이 수준은 이유를 보여줍니다. Mission Objective Inject a script to pop up a JavaScript alert() in the application. 스크립트를 삽입하여 애플리케이션에서 JavaScript의 alert를 출력하시오. Write Up 문제를 확인하니, Input에 3이 입력되어있다..

문제 풀이 Mission Description As you've seen in the previous level, some common JS functions are execution sinks which means that they will cause the browser to execute any scripts that appear in their input. Sometimes this fact is hidden by higher-level APIs which use one of these functions under the hood. The application on this level is using one such hidden sink. 이전 수준에서 보았듯이 일부 일반적인 JS 함수는 실행 싱..

문제풀이 Mission Description Web applications often keep user data in server-side and, increasingly, client-side databases and later display it to users. No matter where such user-controlled data comes from, it should be handled carefully. This level shows how easily XSS bugs can be introduced in complex apps. 웹 응용 프로그램은 사용자 데이터를 서버 단과 클라이언트 단 데이터베이스에 보관하고 나중에 사용자에게 출력합니다. 이러한 사용자 데이터의 위치가 어디있든 상관없이..

XSS game 소개 크로스사이트 스크립팅 공격에 대한 문제를 집중적으로 출제한 워게임 사이트이다. 아무래도 XSS은 공격 방법이 무긍무진한 대신 대처 방법도 무긍무진하다는 점이다. 문제 풀이 Mission Description This level demonstrates a common cause of cross-site scripting where user input is directly included in the page without proper escaping. Interact with the vulnerable application window below and find a way to make it execute JavaScript of your choosing. You can take ac..