지정하는 시간별로 타이머가 돌아가는 웹 사이트 임을 확인할 수가 있다.

timer 부분에 소스코드를 보면

<img src="/static/loading.gif" onload="startTimer('{{ timer }}');" /> 형식으로 되어 있음을 볼수가 있다.

<img src="/static/loading.gif" onload="startTimer('{{ timer }}');" />

먼저 사이트를 돌려보도록 하자.

우측 상단을 보면 겉으로 들어나는 GET 방식으로 timer 값을 받아내는 것을 확인할 수가 있다.

위에서 말한 코드에 XSS 구문을 삼입하려면 위에 타이머 값을 이용해야 함을 볼 수 있다

<img src="/static/loading.gif" onload="startTimer('{{ timer }}');" />

형식에 맞추려면 alert('XSS Sucess') 구문을 넣는다 가정할때 위에 코드는 아래와 같이 변경되지 않을까?

<img src="/static/loading.gif" onload="startTimer('{{ timer }}');" />

--> <img src="/static/loading.gif" onload="startTimer('alert('Xss Sucss')');" />

그렇다면 XSS 구문은 실행될수가 없다. 먼저 일단 사이트에 위와 같이 코드가 되는지 확인해볼 필요성이 있다.

역시 위와 같이 되는 것을 확인할 수 있다.

위에 형식대로 하면 XSS 구문이 실행할 수 없는 것은 확인이 되었다.

<img src="/static/loading.gif" onload="startTimer('{{ timer }}');" />