XSS Game by google
XSS game というサイトを紹介する。
攻撃側として xss の脆弱性を悪用するゲームで xss 対策啓蒙の一貫として google が公開したらしい。
悪用と言っても alert を出すところまで。
(とはいえalertができたらセッションハイジャックもできるわけで実際にできたら絶望的なレベルだと思うが)
全6問で、基本を理解していてコードが読めるなら完走できるレベル感。
知らないと解けないものもあるが、調べればすぐにわかる&知っておいて損はない知識なのでオススメ。
改めて、
- 出力する際にはコンテキストを意識してエスケープしよう(特に入力値は信用できない)
- フレームワークやブラウザが提供するセキュリティ機構を理解せずオフにするような事はやめよう
がXSS予防には重要だと思った。