https://xss-game.appspot.com/level5 미션 설명 사이트 간 스크립팅은 단순히 데이터를 올바르게 이스케이프하는 것이 아니다. 때때로 공격자들은 새로운 요소들을 DOM에 주입하지 않고도 나쁜 일을 할 수 있다.
미션 목표 스크립트를 주입하여 응용 프로그램의 alert()에서 알림을 팝업하십시오. 첫 페이지이다.
"Sign up" 이 링크되어 있는 것을 확인할 수 있다. 다음은 'Sing up' 을 누르면,url에 변수 next 가 노출되고, 변수 값으로 confirm이 들어가 있는 것을 보아, GET 방식으로 HTTP 요청하는 것을 확인할 수 있다.
Next 를누르면 URL 이 confirm 으로 바뀌고 몇 초후 첫 페이지로 되돌아간다. 자세히 문제의 페이지가 어떻게 돌아가느지 소스를 확인해보았다. confirm.htmllevel.pysignup.htmlwelcome.html
doctype html>
