[DVWA] DOM Based XSS

DOM based XSS

Low

view source)

 

 

Step 1) 아무 값이나 입력

url의 내용을 추출한 뒤 decode하여 html에 write

 

 

Step 2) url에 스크립트 구문 삽입 

 

 

Step 3) 스크립트 구문으로 인식된 것을 확인

 

 

 

Medium

view source)

stripos()를 통해 필터링

*stripos(): 대상 문자열을 앞에서부터 검색하여 찾고자 하는 문자열이 몇 번째 위치에 있는지를 리턴하는 함수

 

 

Step 1) 이미지 태그를 사용

 

 

Step 2) 스크립트 구문으로 인식된 것을 확인

</select>를 꼭 해줘야 함

-> 코드를 보면 앞에 <select>가 열려있다. <select> 안에 이미지 태그가 들어갈 수 없기에 닫아준 다음에 <img> 삽입

 

 

High

view source)

switch문을 통해 case에 있는 값만 받아주는 방식으로 필터링

 

 

Step 1) #을 이용하여 스크립트 구문 삽입

서버로 넘어가지 않고 브라우저에서만 실행됨

 

 

Step 2) 스크립트 구문으로 인식된 것을 확인

 

 

Step 3) 버프로 확인

#뒤의 스크립트 구문이 서버로 전달되지 않는 것을 확인

 

 

Impossible

view source

이전 문제들과는 다르게 decode 해주지 않고 있음