Home Research Blog Tags Playground Stack

⌘K

레드팀 · AI 자동화 · 시스템 엔지니어링

직접 만들고, 실험하고, 기록한다

개인정보처리방침·이용약관

© 2026 ZINO LAB

← 태그 목록

Tag Archive

#svg

이 태그가 포함된 글을 최신순으로 모아봤어요.

1

posts

BLOG2026-06-04

[🥉 Bronze 1] SVG 태그 allowlist를 우회한 innerHTML XSS로 쿠키 탈취 — DreamHack PTML 풀이

[🥉 Bronze 1] SVG 태그 allowlist를 우회한 innerHTML XSS로 쿠키 탈취 — DreamHack PTML 풀이

업로드한 SVG를 innerHTML로 그대로 삽입하는데, 검증은 태그 이름만 allowlist로 본다. 허용 태그(animate·image·svg)에 이벤트 핸들러 속성을 달아 XSS를 띄우고, 봇이 들고 있는 flag 쿠키를 동기 XHR로 유출하는 과정을 정리했다.

#dreamhack#ctf#web+5