XSS-Game Level 2

설명(번역)

웹 응용 프로그램은 종종 사용자 데이터를 서버 측에 보관하고 점점 더 클라이언트 측 데이터베이스에 보관하고 나중에 사용자에게 표시합니다. 이러한 사용자 제어 데이터의 출처에 관계없이 신중하게 처리해야 합니다.

이 수준은 복잡한 앱에서 XSS 버그가 얼마나 쉽게 도입될 수 있는지 보여줍니다.

 

임무 목표 : alert() 응용 프로그램 컨텍스트에서 팝업 스크립트를 삽입합니다.

 

참고 : 응용 프로그램은 게시물을 저장하므로 경고를 실행하기 위해 코드를 살짝 입력하면 다시 로드할 때마다이 수준이 해결됩니다.

 

Level 2 에서는 " <script> " 태그를 막고 있습니다.

또한 사진에 보이는 것처럼 HTML 폼에 악의적인 스크립트 구문을 삽입하여 해당 페이지에 접근하는 모든 사용자 들을 타깃으로 하고 " Persistence " 지속성을 가진 공격을 하라는 출제자의 의도가 보입니다.

 

 --index.html--
 
 <!doctype html>
<html>
  <head>
    <!-- Internal game scripts/styles, mostly boring stuff -->
    <script src="/static/game-frame.js"></script>
    <link rel="stylesheet" href="/static/game-frame-styles.css" />
 
    <!-- This is our database of messages -->
    <script src="/static/post-store.js"></script>
   
    <script>
      var defaultMessage = "Welcome!<br><br>This is your <i>personal</i>"
        + " stream. You can post anything you want here, especially "
        + "<span style='color: #f00ba7'>madness</span>.";
 
      var DB = new PostDB(defaultMessage);
 
      function displayPosts() {
        var containerEl = document.getElementById("post-container");
        containerEl.innerHTML = "";
 
        var posts = DB.getPosts();
        for (var i=0; i<posts.length; i++) {
          var html = '<table class="message"> <tr> <td valign=top> '
            + '<img src="/static/level2_icon.png"> </td> <td valign=top '
            + ' class="message-container"> <div class="shim"></div>';
 
          html += '<b>You</b>';
          html += '<span class="date">' + new Date(posts[i].date) + '</span>';
          html += "<blockquote>" + posts[i].message + "</blockquote";
          html += "</td></tr></table>"
          containerEl.innerHTML += html; 
        }
      }
 
      window.onload = function() { 
        document.getElementById('clear-form').onsubmit = function() {
          DB.clear(function() { displayPosts() });
          return false;
        }
 
        document.getElementById('post-form').onsubmit = function() {
          var message = document.getElementById('post-content').value;
          DB.save(message, function() { displayPosts() } );
          document.getElementById('post-content').value = "";
          return false;
        }
 
        displayPosts();
      }
 
    </script>
 
  </head>
 
  <body id="level2">
    <div id="header">
      <img src="/static/logos/level2.png" /> 
      <div>Chatter from across the Web.</div>
      <form action="?" id="clear-form">
        <input class="clear" type="submit" value="Clear all posts">
      </form>
    </div>
 
    <div id="post-container"></div>
 
    <table class="message">
      <tr>
        <td valign="top">
          <img src="/static/level2_icon.png">
        </td>
        <td class="message-container">
          <div class="shim"></div>
          <form action="?" id="post-form">
            <textarea id="post-content" name="content" rows="2"
              cols="50"></textarea>
            <input class="share" type="submit" value="Share status!">
            <input type="hidden" name="action" value="sign">
          </form>
        </td>
      </tr>
    </table>
 
  </body>
</html>

 

해당 레벨에서는 <scirpt> 태그를 필터링 걸어 악의적인 스크립트가 실행되지 못하도록 막고 있다. 이럴 때는 다른 태그를 사용하여 스크립트가 실행되도록 유발할 수 있다.

 

<img src> 태그와 이벤트 핸들러를 조합하여 실행시킬 수 있다.

 

html 코드를 보면 <img src= 를 통해 /static/level 2이라는 경로를 통해 이미지를 불러오고 있다. 만약 경로를 없는 경로로 지정해주면 에러가 발생하는데 이때 자바스크립트 이벤트 핸들러인 onerror를 연계하여 에러가 발생 시 onerror 함수가 발생되도록 할 수 있다.

 

마지막으로 사용자 화면에 경고문구를 띄우기 위해 alert, confirm, prompt 등 사용하면 된다.

 

 

힌트

1. "환영"게시물에는 템플릿이 상태 메시지의 내용을 이스케이프 하지 않음을 나타내는 HTML이 포함되어 있습니다.

2. 이 수준에서 <script> 태그를 입력하면 작동하지 않습니다. 대신 JavaScript 속성이 있는 요소를 사용해보십시오.

3. 이 레벨은 문자 i , m , g 및 속성에 의해 후원됩니다 onerror

 

Exlpoit Code

<img src=onerror=prompt("xss")>
<img src=x onerror=prompt("xss")>