XSS Challenge_Level13
입력하는 대로 CSS가 적용된다. 입력 값이 style 태그에 설정된다.
"는 HTML 인코딩 되어 핸들러를 이용하지 못 한다.
CSS 인젝션으로 추측한다. CSS 인젝션 기술은 자세히 알지 못 했다. 현대의 브라우저에서는 잘 먹히지 않는다는 점은 알고 있었다. 그래서 XP에서 익스플로러 6을 이용했다.
background-image: url(javascript:alert(document.domain)) 으로 자바스크립트를 실행할 수 있다.
tags: writeup, xss, reflected xss, wstg-inpv-01, web hacking, css injection