最近会社で頼まれもしてないのに勝手にセキュリティ関連を勉強しだしている。
Linuxのお勉強をしなきゃならないけど、こっちが手付かずなのは内緒だ。

んでWebアプリケーションの最も代表的な？クラッキング方法がクロスサイトスクリプティング(Cross Site Scripting、XSS)だ。
動的なページで入力値を適切にエスケープしていないでhtmlタグやjavascriptが実行できてしまうとやられてしまう方法で、知ってさえいれば中学生だってできる。
簡単にやれてしまう上にCSRFの踏み台にされたりフィッシングの踏み台にされたりと被害がでかいので最低限何とかしておきたい。
まぁXSSの説明するために書いてるわけじゃないから、詳しくは目の前の箱なり板っ切れで調べてくれ。

で、その簡単かつ危険なXSSを謎解きパズル感覚で遊べてしまうのが「XSS Workshop」である。
「XSS Workshop」
http://blogged-on.de/xss/

ルールは簡単。
検索Formがあるページで何とかして下記のJSを実行するだけ。


実行できると出てくるアラートボックスに書いてあるPASSを、画面下部の「Continue to the Next Stage」のフォームに入れて次のステージへ。
html上でJSを実行させるにはscriptタグで囲ってね。

全6ステージ、暇つぶしにも現況にもちょうどいいレベルです。
あなたは全ステージ制覇できますか？

どうしてもクリアできない人はこちらのblogさんに回答があります。
脳トレ！？　クロスサイトスクリプティングを実際に試して学べる「XSS Workshop」
hidenoriのWeddingメモ