<문제>
이 랩에는 검색어 추적 기능에 DOM 기반 교차 사이트 스크립팅 취약점이 포함되어 있습니다. 페이지에 데이터를 쓰는 JavaScript document.write 함수를 사용합니다. document.write 함수는 웹사이트 URL을 사용하여 제어할 수 있는 location.search의 데이터로 호출됩니다.
이 실습을 해결하려면 경고 기능을 호출하는 크로스 사이트 스크립팅 공격을 수행하세요.
---start!---
홈페이지를 들어가보니 이미지를 검색할 수 있는 창이 뜬다.
아무거나 입력해보고 코드를 확인해보자.
'qwerty'를 입력해보았음.
그러고 나서 코드를 확인해보니, 아래와 같은 코드가 생성되었음을 알 수 있다. 이 구조의 취약점을 이용하여 xss공격을 시도해보자.
">로 이미지 검색 코드를 닫아주고, 그 뒤로 alert 기능을 추가하는 코드를 작성하자.
짠! 1을 출력하는 알림창이 뜨는 것을 확인할 수 있다. 공격(?) 성공!
코드를 확인해보니 우리가 의도한 대로 잘 작성되었음을 알 수 있다.
---solved!---
