忍者ブログ
~お前もこの 気持ちよさにやられちまいな~
[PR]
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

クロスサイトスクリプティングをゲームで学ぶ「XSS Workshop」
最近会社で頼まれもしてないのに勝手にセキュリティ関連を勉強しだしている。
Linuxのお勉強をしなきゃならないけど、こっちが手付かずなのは内緒だ。

んでWebアプリケーションの最も代表的な?クラッキング方法がクロスサイトスクリプティング(Cross Site Scripting、XSS)だ。
動的なページで入力値を適切にエスケープしていないでhtmlタグやjavascriptが実行できてしまうとやられてしまう方法で、知ってさえいれば中学生だってできる。
簡単にやれてしまう上にCSRFの踏み台にされたりフィッシングの踏み台にされたりと被害がでかいので最低限何とかしておきたい。
まぁXSSの説明するために書いてるわけじゃないから、詳しくは目の前の箱なり板っ切れで調べてくれ

で、その簡単かつ危険なXSSを謎解きパズル感覚で遊べてしまうのが「XSS Workshop」である。
「XSS Workshop」
http://blogged-on.de/xss/


ルールは簡単。
検索Formがあるページで何とかして下記のJSを実行するだけ。

decipher(document.forms.cipher); alert(document.forms.cipher.stream.value); document.forms.cipher.stream.value = document.forms.cipher.stream_copy.value;

実行できると出てくるアラートボックスに書いてあるPASSを、画面下部の「Continue to the Next Stage」のフォームに入れて次のステージへ。
html上でJSを実行させるにはscriptタグで囲ってね。

全6ステージ、暇つぶしにも現況にもちょうどいいレベルです。
あなたは全ステージ制覇できますか?

どうしてもクリアできない人はこちらのblogさんに回答があります。
脳トレ!? クロスサイトスクリプティングを実際に試して学べる「XSS Workshop」
hidenoriのWeddingメモ
PR
コメントを投稿する

HN
タイトル
メールアドレス
URL
コメント
パスワード
この記事のトラックバックURL:
カレンダー

04 2017/05 06
S M T W T F S
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31
ブログ内検索

プロフィール

中の人:
お仕事:
見習いプログラマー
趣味:
ネット、アニメ、音楽、チャリ
一言:
エロゲからクラブミュージックまで。
おじさんの趣味は108式まであるゆぉ~(・3・)