XSS-Game Level 1

🌧:
Guluem

« 2024/04 »
일	월	화	수	목	금	토
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Tags more

티스토리 뷰

CHALLENGE

XSS-Game Level 1

🌧: 2020. 11. 26.

설명(번역)

XSS ( 교차 사이트 스크립팅 ) 버그는 웹 응용 프로그램에서 가장 일반적이고 위험한 유형의 취약점 중 하나입니다. 이러한 성가신 버거는 적이 앱에서 사용자 데이터를 훔치거나 수정할 수 있도록 허용할 수 있으며, 이러한 악의적인 스크립트를 보내는 법을 배워야 합니다

Google에서는 이러한 버그가 얼마나 중요한지 잘 알고 있습니다. 실제로 Google은 XSS 문제를 찾고 수정하는 데 매우 진지 하여 가장 민감한 제품에서 발견된 위험한 XSS 버그에 대해 최대 7,500 달러를 용병에게 지불하고 있습니다.

해당 게임을 통해 XSS 버그를 찾고 활용하는 방법을 배웁니다. 이 지식을 사용하여 애플리케이션에서 이러한 버그가 발생하는 것을 방지하여 적을 혼란스럽게 하고 분노하게 할 것입니다.

시험이 끝나면 케이크가 나옵니다.

page_header = """
<!doctype html>
<html>
  <head>
    <!-- Internal game scripts/styles, mostly boring stuff -->
    <script src="/static/game-frame.js"></script>
    <link rel="stylesheet" href="/static/game-frame-styles.css" />
  </head>
 
  <body id="level1">
    <img src="/static/logos/level1.png">
      <div>
"""
 
page_footer = """
    </div>
  </body>
</html>
"""
 
main_page_markup = """
<form action="" method="GET">
  <input id="query" name="query" value="Enter query here..."
    onfocus="this.value=''">
  <input id="button" type="submit" value="Search">
</form>
"""
 
class MainPage(webapp.RequestHandler):
 
  def render_string(self, s):
    self.response.out.write(s)
 
  def get(self):
    # Disable the reflected XSS filter for demonstration purposes
    self.response.headers.add_header("X-XSS-Protection", "0")
 
    if not self.request.get('query'):
      # Show main search page
      self.render_string(page_header + main_page_markup + page_footer)
    else:
      query = self.request.get('query', '[empty]')
       
      # Our search engine broke, we found no results :-(
      message = "Sorry, no results were found for <b>" + query + "</b>."
      message += " <a href='?'>Try again</a>."
 
      # Display the results page
      self.render_string(page_header + message + page_footer)
     
    return
 
application = webapp.WSGIApplication([ ('.*', MainPage), ], debug=False)

기본 구문으로 충분히 클리어 가능한 단계입니다.

힌트

1. 응용 프로그램의 소스를 보려면 프레임을 마우스 오른쪽 버튼으로 클릭하고 컨텍스트 메뉴에서 View Frame Source를 브라우저의 개발자 도구를 사용하여 네트워크 트래픽을 검사할 수 있습니다.

2. <h1>과 같은 프리젠 테이션 태그를 입력하면 어떻게 됩니까?

3. 좋습니다. 마지막 힌트 : <script>... alert...

저작자표시 비영리 변경금지

'CHALLENGE' 카테고리의 다른 글

XSS-Game Level 6 (0)	2020.12.01
XSS-Game Level 5 (0)	2020.11.30
XSS-Game Level 4 (0)	2020.11.29
XSS-Game Level 3 (0)	2020.11.28
XSS-Game Level 2 (0)	2020.11.27

공유하기 링크

트위터

Comment

☁️ Guleum LAB

티스토리 뷰

XSS-Game Level 1

'CHALLENGE' 카테고리의 다른 글

티스토리툴바