XSS Challenge

by @y0n3uchy (日本語: @lmt_swallow)

Introduction

これは セキュリティ・ミニキャンプ in 岡山 2018 で演習コンテンツとして使用された, *初学者向け* の XSS Challenge です。

alert('XSS') と alert(document.domain) の 2 つを, 各ページで実行してください。ただし document.domain == xss.shift-js.info となるようにしましょう。特段の指示がない限り, 多くの問題では, ユーザー操作を必要とするもの(e.g. onclick)でも構いません。

CTF と違い, 特に alert が生じても FLAG が表示されたりしませんが, alert('XSS') と alert(document.domain) が正しく実行されると, "You win! :-)" とだけ表示されます。alert を出して楽しみましょう。また public な形で解法を公開していただくのも構いません。

This is an exercise for beginners that was used at Security Mini Camp in Okayama 2018, a Japanese security training for students.

Execute alert('XSS') and alert(document.domain) to win! Please note that document.domain should be 'xss.shift-js.info' when alert(document.domain) is executed. Some problems need user interaction, such as `onmouseover`, etc.

This is not a CTF; there's no FLAG and no award. All you can do is alert. You will see an popup saying "You win! :-)" when alert('XSS') or alert(document.domain) is executed successfully. I don't mind your sharing your writeup in public.