프로그램 개발 및 보안

Mission Description Complex web applications sometimes have the capability to dynamically load JavaScript libraries based on the value of their URL parameters or part of location.hash. --> 복잡한 웹 애플리케이션은 가끔 해당 URL 파라미터 또는 location.hash의 일부에 따라 JS 라이브러리를 동적으로 할당하는 기능을 가지고 있다. This is very tricky to get right -- allowing user input to influence the URL when loading scripts or other potentially dang..

Mission Description Cross-site scripting isn't just about correctly escaping data. Sometimes, attackers can do bad things even without injecting new elements into the DOM. --> XSS는 단순히 데이터를 올바르게 이스케이프하는 것이 아니다. 가끔 공격자들은 DOM에 새로운 요소를 주입하지 않고 나쁜 짓을 할 수 있다. Mission Objective Inject a script to pop up an alert() in the context of the application. --> 애플리케이션의 내용에서 alert()를 팝업창에 띄우도록 스크립트를 주입해라 Solve ..

Mission Description Every bit of user-supplied data must be correctly escaped for the context of the page in which it will appear. This level shows why. --> 사용자에게 제공되는 데이터의 모든 비트는 표시되는 페이지의 내용에서 올바르게 탈출되어야 한다. 이번 레벨은 그 이유를 보여준다. Mission Objective Inject a script to pop up a JavaScript alert() in the application. --> 스크립트를 주입하여 애플리케이션에서 javascript alert()를 팝업 창에 띄우시오. Solve 첨에 코드를 보고 timer에 입력한 값..

Mission Description As you've seen in the previous level, some common JS functions are execution sinks which means that they will cause the browser to execute any scripts that appear in their input. Sometimes this fact is hidden by higher-level APIs which use one of these functions under the hood. --> 이전 레벨에서 봤듯이, 몇 가지 흔한 Javascript들은 실행 싱크이다. 즉, 입력에 나타나는 스크립트를 브라우저가 실행하게 된다. 가끔 이 사실은 후드 아래에서 이 ..

Mission Description Web applications often keep user data in server-side and, increasingly, client-side databases and later display it to users. No matter where such user-controlled data comes from, it should be handled carefully. --> 웹 애플리케이션은 종종 사용자 데이터를 서버 측, 그리고 점차 클라이언트 측 DB에 보관했다가 나중에 사용자에게 표시함. 이러한 사용자 제어 데이터의 출처에 관계없이 신중하게 처리해야함. This level shows how easily XSS bugs can be introduced in ..

Mission Description This level demonstrates a common cause of cross-site scripting where user input is directly included in the page without proper escaping. --> 이 레벨은 사용자 입력이 적절한 탈출 없이 페이지에 직접 포함되는 사이트 간 스크립팅의 일반적인 원인을 보여준다. Interact with the vulnerable application window below and find a way to make it execute JavaScript of your choosing. You can take actions inside the vulnerable window or di..