webhacking.kr 23 나의 미션은 alert(1);을 injcet 삽입하는 것이다. 문제를 파악하기 위해 소스를 확인해 보았다.
그래서 구문을 그대로 입력했더니 no hack이라고 한다. 그래서 구문에서 사용되는 특수문자를 삽입해보았다.
이 필터링이 안되는 것을 확인할 수 있었다. 다른 특수문자를 삽입을 해보고 필터링이 안되는 것을 정리해 봤다. > < ( ) ; / 다만 필터링에서 걸리는 것이 문자열을 필터링 한다는 것이다.
두개의 단어가 합쳐졌을 때 no hack이 뜬다. 그렇다면, 문자열을 인식하지 않게하고, 구문을 입력하면 될 것 같습니다. (%00)Null 값을 이용하여 문자열을 인식하지 못하게 하면 될 것같습니다.
GET방식이므로 URL에 직접 입력해야한다.
![webhacking.kr 23 [200]](https://mblogthumb-phinf.pstatic.net/MjAyMDAzMjZfMjk3/MDAxNTg1MjAxMzU3NjQ5.vC8sObbxj0QoIke-6poIYETjrnnzGFMwjSnigO4hbCkg.hA2UA4x5kfqBW4h2PAuunn2ouzmpFNumz0kOF60roIQg.PNG.ster098/image.png?type=w2)
#
23
#
study
#
webhacking
#
webhackingkr
원문 링크 : webhacking.kr 23 [200]
![[일기 ㆍ공부계획] - 0528 KISA 수료증](https://mblogthumb-phinf.pstatic.net/MjAyMDA1MjhfMTA5/MDAxNTkwNjYyMjE0Mjk5.MFrJQsafdC4ANT_8mr1Dr_q2tTURYJylHibGdpeZeIYg.4pcz63KbfhuZ2TQEpROng7qAEGNlkKXiQKK6OSMiPo0g.PNG.ster098/image.png?type=w2)