【XSS】XSSをゲームで学ぼう

こんにちは。
あっという間に新年を迎えて半月が経過しましたね。
1年が過ぎるのがあっという間のカナです。

今回はXSS(クロスサイトスクリプティング)を簡単に学べるゲーム？？を紹介しようと思います。

XSSとは？

クロスサイトスクリプティングとは、Webアプリケーションの脆弱性もしくはそれを利用した攻撃。脆弱性をツリー型に分類するCWEではこの攻撃を不適切な入力確認によるインジェクションのひとつとして分類している。
XSS攻撃は、ウェブサイト（標的サイト）の脆弱性(XSS脆弱性)を利用する事で、標的サイトの権限で悪意のあるコンテンツ（多くの場合スクリプト）を実行する事を目的として行われる。

(引用:クロスサイトスクリプティング Wikipedia)
https://ja.wikipedia.org/wiki/クロスサイトスクリプティング

とのことです。
WEBサイトに対してなんかしらのスクリプトを実行させようとする攻撃みたいですね。

ゲームで学ぶ？？

ゲーム感覚でXSSの攻撃方法を理解するサイトがあります。

XSS game

英語のサイトなので、英語がわからない場合は翻訳しながらになりますが、色々なレベルがあり段々と難易度が上がってきます。
なにか怪しい感じがしますが、こちらのサイトはGoogle社が提供しているものになります。

Let me at'em! のボタンをクリックして進んでみましょう！

Level1と書いてますね。1/6なので全部で6問あるようですね。
英語があまりできないので(泣)、翻訳して文章を読んでみると、JavaScriptのalertを表示させればよいみたいですね。
Enter query here... のウィンドか、URLのウィンドを操作してalerを出せばよいみたいですね。

Javascriptを実行させないといけないので、scriptタグでalert()をくくった文字を入力してみましょう。

<script>alert();</script>

上の文字を入力してSearchボタンをクリックすると、ポップアップが出てきてクリアみたいです！

クリアすると次のステージに進めるみたいです。
全部クリアするといいことが？？

下の方にヒントやソースコードも見れるみたいなので、ソースコードを見ながら考えたり、わからなかったらヒントを見るのもいいかもしれませんね。

遊ぶだけじゃなくて・・・

難易度が上がってくるとなかなか一筋縄ではいかなく、のめりこんでしまうのですが、
今回のゲームで知っておきたいのは、実際のWEBサイト上でも対策をしないと同じようなことをできてしまうってことです。
WEBシステムを構築する際には必ず、このような脆弱性の対応を心掛けなければなりません。

今回のXSSに関しては、古くからある攻撃の手法なので、広く知られているものですが、
知らなかった方やすでに知っていた方でも、実際に体験しどのように攻撃されたら不正な動きをしてしまうのかを今一度理解すると、
WEBシステムを構築する際に、「あ、ここ怪しそうだな」とか「ここ大丈夫かな」といった気づきができ、脆弱性をなくすことができます。

WEBシステムを初めて触る方や、プログラマーの新人研修にはぜひ活用していただきたいコンテンツですね！