app.options('/',function(req.resp){ resp.header() << access-control header, origin 전부다 * }) 에러떠주는거마다 다 추가해줬는데 결국에는 또 accessoring 헤더가 없다고 하는데 원인이 뭘까요...

XSS 트리거 까진 쉽게 해결했습니다. 하지만 템플릿 생성 시 에러 처리 로직(메인 페이지로의 리다이렉션)때문에 XSS가 트리거 되기 전에 메인 페이지로 사용자가 리다이렉션 되버려서 XSS가 트리거되질 않습니다.. 사용자 리다이렉션을 막거나 지연시키기 위해 다양한 방법을 시도해보았으나, while문을 통한 사용자 리다이렉션 동기적 지연 -> fetch를 통한 Flag leak도 같이 지연되어 실패 사용자 리다이렉션 감지하여 alert를 띄우고 지연 -> 사용자의 상호작용이 필요함 (beforeunload,onbeforeunload), autofocus를 통해 상호작용을 유도해도 감지하지 못함 XSS 구문 내에서 throw new Error -> location.href='/' 실행을 막지 못함 힌트를 받을 수 있으면 좋겠습니다.. 며칠간 다양한 시도를 해보았으나 유의미한 결과를 얻지 못했습니다. 해당 이슈 해결하였습니다. 문제 이슈인지 브라우저 업데이트 이슈인지 모르겠으나 sanitize가 되기 전 처리 과정에서 error가 발생하고, 결과적으로 sanitize는 실행이 안되고 /로 리다이렉션 되는 이슈가 있었습니다.. 문제 푸시는 분들은 /report 환경에서는 sanitize가 정상적으로 실행된다는 점 유의하시고 푸셔야 합니다.

해당 문제를 해결하는 중, /#/:id/detail에 접근하면 조금 있다가 메인 페이지로 돌아가는 현상이 발생하는데 의도된 현상인가요?

client side의 app.9ada4703.js 파일을 보고, /#/:id/detail 에서 HTML injection이 가능하다는 것을 확인했습니다 그래서 이를 위해 /debug/:data를 사용해보는 중인데, substr로 22자 제한이 걸려 있어 payload의 길이를 줄여보고 있습니다 혹시 이런 방향으로 문제를 해결하는 것이 맞는지, 아니면 아에 잘못된 방향으로 접근하고 있는 것인지 힌트를 주신다면 감사할 것 같습니다

Frontend /#/ /items /user/info /#/:id/detail /user/info, /:id(\\d+)/info에 요청 보내서 받아옴 Buy /:id(\\d+)/buy에 post 요청 onSubmit onSubmit: function(t) { var e = this; t.preventDefault(), this.$http.post("/".concat(this.id, "/buy")).then((function(t) { e.$cookie.set("token", t.data.token), alert("buy item!"), location.href = t.data.data })).catch((function(t) { alert(t.response.data) })) buy를 하면 location.href = t.data.data secret_data로 redirect 한다. parseInt(req.params.id, 10) var item = items.find(item => item.id == id); secret_data['' + id] secret data를 가져올 때 입력으로 준 id를 씀. item.id가 아니라 입력벡터 의심 : id -> 근데 뭔가를 하려고 해도 꼼꼼하게 검증되어 있는 것 같다. redirect 하는 것을 가지고 뭐 어떻게 할 수 없을까… => 방문하면 post 요청하게 어떻게 할 건데? /#/login uid upw 입력으로 받고 /login으로 포스트 요청 내부적으로 login(uid,upw) 사용 입력벡터 의심 : uid upw /#/report login()만 사용함 입력한 path에 // 검증만 하고 방문함 입력벡터 의심 : path /debug/:data data에 입력한 값이 text/plain으로 22글자 나옴. 경로에 뭐 검증이 없긴 하다. post 요청을 보내는 곳에는 다른 js가 삽입이 되어야 자동 submit이 될텐데… GET method / /debug/:data /items /:id/info POST method /login /report /:id/buy 처음에는 /report에서 사용하는 path에 어찌저찌 해서 진행해야 하나 싶었는데… 그 것도 잘 안되고 다른 url에서는 도저히 어떤 방식으로 진행해야 할지 잘 모르겠습니다 ㅠ 현재는 /debug/:data에 data값에 검증이 없어서 뭔가를 시도 중입니다. 피드백이나 방향성만 제시해주시면 감사하겠습니다…

admin의 경우 jwt 토큰 만료 시간이 10초여서, 만료가 되기 전에 admin token을 가지고 buy을 하면 no login메세지가 뜹니다. guest의 경우는 잘 되는데 말이죠 ㅠㅠ... 이 이상 어떻게 접근하는게 좋을까요? 현재 어디가 취약한 곳인지는 알고 있습니다만, 위 방법 이외의 exploit할 시나리오를 잘 모르겠습니다. 도와주세요ㅠㅠ