Hacking/Web.

Markdown에서 XSS

2017. 10. 18. 15:56

CTF 문제를 풀다가 markdown 언어에서도 XSS 취약점이 있을 수 있다는 것을 알게 되었다...


https://github.com/showdownjs/showdown/wiki/Markdown's-XSS-Vulnerability-(and-how-to-mitigate-it)


개쩐다... 

그리고 구글에서 찾아보면 여러가지 Cheatsheet들이 존재하는데, 이 cheatsheet을 이용해서 할 수 있는 것은 상당히 제한적일 수 있다. 


그래서 주는 팁(?)은 whitespace가 \x20 밖에 있지 않다는 것이다. \x0a 등을 조합해서 쓰면 아무리 filtering이 심해도 쉽게 bypass할 수 있다. 

저작자표시 비영리

'Hacking > Web.' 카테고리의 다른 글

mysql false based sql injection  (0) 2017.11.01
LFI exploit with php wrappers  (0) 2017.10.18
웃긴대학 XSS 취약점 제보  (0) 2017.10.16
XSS에서의 가장 심각한 시나리오  (2) 2017.10.15
UNION SQL Injection with SQLite3  (0) 2017.10.08