DVWA | DOM XSS | medium

DOM Based Cross Site Scripting클라이언트 측 자바스크립트를 조작하여 악성 스크립트를 실행하는 공격 DVWA DOM XSS 페이지는 위 사진과 같이 언어를 선택할 수 있는 기능이 구현되어 있다.ㅤ 언어를 선택하면 URL 파라미터로 값이 들어가는 걸 볼 수 있었다. DVWA 깃허브 코드를 보니, 가 포함되어있는지 stripos() 함수를 통해 확인하고, 포함되어있으면 ?default=English 가 실행되었다.하지만 script 태그 말고도 XSS 공격이 가능하니 이를 우회해보려고 한다. 태그를 사용하여 이미지 소스가 존재하지 않을때 에러를 발생시키면서 alert창을 띄우도록 해보았다.ㅤ 를 입력했지만 alert창이 띄워지진 않았다. 하지만 default=English가 적용되진 ..