Lab: Reflected XSS into a JavaScript string with single quote and backslash escaped

문제

해당 LAB에 있는 검색 추적 기능에 Relected XSS 취약점이 존재한다. relection은 JS 코드에서 싱글쿼터(')와 backslash(\) 이스케이프로 인해 발생한다.

LAB을 해결하기 위해서는 XSS 공격을 발생시키는 JS 코드를 찾아내고 alert() 함수를 호출하라.

---

정보 탐색

우선 싱글쿼터 포함해 입력해보겠습니다.

'+alert(1)

코드가 그대로 출력되며

소스 코드를 보면 싱글쿼터가 이스케이핑 처리가 되어있습니다.

---

공격

이 문제는 간단하게 </script>를 붙여주면 끝이납니다.

분명 싱글쿼터 안에 작성했음에도 HTML 코드로 인식하는 모습.

원래라면 JS코드가 들어가야할 위치인데 HTML코드인 </script>가 입력되면서 브라우저의 HTML 파서는 스크립트가 끝나는 부분으로 인식해 문자열안에 작성했음에도 여기서 스크립트를 종료하게 됩니다.

이제 뒤에 <script>alert(1)</script>을 붙여주면 문제가 클리어됩니다.