Quest. GET방식과 POST방식의 차이에 대해 간단히 정리해봅시다.
GET 방식 : Header에 정보(변수)를 포함시켜 주소창(URL)에 서버로 넘어가는 정보가 보인다.
POST 방식 : body에 정보(변수)를 포함시켜 주소창(URL)에 서버로 넘어가는 정보가 보이지 않는다.
Quest. 다음 화면을 띄워보세요.
경고창을 누른 후 화면 (Welcome success 출력)
난이도 low
GET에서 했던 것처럼 <script>alert("XSS")</script>와 success를 입력했다.
문제를 해결할 수 있었다.
난이도 medium
Quest. 다음과 같이 사용자의 쿠키 값을 경고창에 출력해보세요.
쿠키 값을 구하기 위해 이번에는 <script>alert("XSS")</script>가 아니라
<script>alert(document.cookie)</script>를 입력했다.
사용자의 쿠키가 출력되었다.
예제 문제는 security_level이 0으로 표시되는데, 아마 low 난이도에서 하면 security_level이 0으로 표시될 것이다.
문제에서는 여기까지만 주어져 있었는데, 이번에는 security_level이 1인 것이 함께 출력되었기 때문에 security_level이 1일 때는 무슨 함수가 적용되는지, 필터링되는 문자는 없는지 궁금해서 확인해 보았다.
GET 문제와 같이 xss_check_4가 적용되는 것을 확인할 수 있었다.
문제를 풀 때 ', "등을 이용하지 않았기 때문에 문제 없이 넘어갈 수 있었던 것 같다.