prototype pollution1 [BSidesSF 2023 CTF] prototype 1. 개요 prototype pollution 문제 문제 링크 - https://github.com/BSidesSF/ctf-2023-release/tree/main/prototype 2. 분석 index.js를 살펴보면, innerHTML로 문자열을 넣어 주기 때문에 XSS에 취약합니다. 다만 구문을 자세히 보면, this.planet 조건을 통과해야합니다. (정리하면, XSS를 성공시키기 위해서는 this.planet과 this.address.planet 모두 truthy가 되어야합니다.) 그리고, sever.py 코드를 보면, payload에서 planet을 읽지 않고 있기 때문에 planet을 payload로 보내도 소용없습니다. elif(request.content_type.startswith(.. 2023. 4. 26. 이전 1 다음