Warmup
console.log를 닫아주고 alert(1)이 후 주석 처리를 해주어도 되고, 안에 더블 쿼터들을 문자열 연결을 통해 처리해주면서 alert(1)을 하면 된다.
input : +"alert(1)"+
Adobe
"를 치면 \가 생긴다. "앞에 \를 넣어 줌으로써 \가 "로 생기는 \를 문자로 표현 해주어 우회가 가능하다
input : \");alert(1)//
JSON
앞선 문제와 달리 \에도 \가 생겨 앞 문제와 약간 다르다 script를 닫아주고 새로운 script 태그를 만들어 alert를 해준다.
input : </script><script>alert(1)//
'Web hacking > alert(1) to win' 카테고리의 다른 글
| alert(1) to win - JSON3 (0) | 2019.11.26 |
|---|---|
| alert(1) to win - Skandia (0) | 2019.11.11 |
| alert(1) to win - callback2 (0) | 2019.11.10 |
| alert(1) to win - JSON2 (0) | 2019.11.10 |
| alert(1) to win - markdown (0) | 2019.11.10 |