js1 [angstromCTF 2023] hallmark 1. 개요 svf XSS, JavaScript 문법 문제 2. 분석 1) SVG XSS SVG XSS에서 가장 중요한 것은 Content-type: image/xvg+xml 이어야한다는 것 입니다. 2) JavaScript 값 비교 == vs === 업데이트 API를 살펴보면, cards[id].type에 값을 넣는 삼항 연산자에서 조건 검색을 "==" 으로 값 비교를 수행하고 content에는 "===" 을 사용합니다. XSS를 위해서 type이 "image/xvg+xml" 이어야하고, 동시에 아니어야 content 가 삽입됩니다. app.put("/card", (req, res) => { let { id, type, svg, content } = req.body; if (!id || !cards[id.. 2023. 4. 29. 이전 1 다음