Question

강의에서 본 <iframe src="\1\4jAVasC\triPT:alert(document.domain)">처럼 사용을 해보았으나 안됩니다..
script나 on 키워드를 우회하려면 어느 부분을 공부해 봐야 할까요?
location이나 document는 javascript 스키마를 이용해서 했는데 중요한 script나 on 우회 방법을 모르겠습니다.

#web

Answer 1

강의에서 나온 것이 잘 될겁니다.
<iframe src="\1\4jAVasC\triPT:alert(document.domain)"> 처럼 이스케이프 시퀀스를 쓰시지 말고
\t를 진짜 탭키 눌러서 나오는 문자인 로 바꿔서 <iframe src="jA V a sCr iPT:alert(document.domain)">로 바꾸면 될겁니다.

\1, \4와 같은 것도 2바이트 문자열이 아니라 1바이트 문자로 날 것으로 넣으셔야 합니다.

2022.05.12. 17:30