XSS Game_Level4

4번 문제도 alert를 띄워야 한다.

파라미터로 준 초만큼 지난 후 팝업이 뜬다.

파라미터로 준 숫자가 반사되므로, 일반적인 문자열 역시 마찬가지인지 실험해 본다.

문자열은 들어가지만 HTML 인코딩이 적용되어 트리거가 불가하다.

타임아웃 때문에 코드를 보기 어려워 burp suite를 이용하여 response 패킷을 잡았다. 그러자 입력 값이 이용되는 다른 부분이 보였다. 로딩 중 이미지에 타이머를 설정하도록 하는 핸들러가 등록되어 있는데, 그 인자로 주어진 파라미터를 이용한다.

이 부분에 새로운 핸들러를 설정하면 되겠다.

세미콜론을 이용하여 핸들러를 붙이려 했는데, 세미콜론을 만나면 문자열을 잘라버린다. 세미콜론을 이용하지 않고 핸들러를 추가로 등록하는 방법을 찾아야 한다.

/를 이용하여 우회할 수 있었다.

---

tags: writeup, xss, reflected xss, wstg-inpv-01, web hacking, event handler