Бесплатно Экспресс-аудит сайта:

30.05.2014

Тренировочная игра по поиску и эксплуатации XSS-уязвимостей

Cross-site scripting (XSS) — очень неприятная штука. Многие компании, в том числе Google, платят сторонним хакерам за поиск таких багов на своих сайтах. Чтобы научить молодёжь искать XSS, компания Google разработала тренировочную игру. Её участники должны искать и эксплуатировать уязвимости подобного типа.

Например, на первом уровне есть уязвимый сайт, который просто добавляет введённый пользователем текст в код страницы без правильной защиты. Задача — отобразить всплывающее окно alert() во фрейме с тестовым заданием. Ссылка на следующий уровень появляется только после выполнения предыдущего задания.

Тренировочная игра по поиску и эксплуатации XSS-уязвимостей

На втором уровне уже такие фокусы уже не проходят, зато есть тег <img>. Можно вводить запросы в поисковую строку и редактировать URL. Разрешается смотреть исходник фрейма, пользоваться средствами разработчика в браузере и т.д.

Для тренировки в поиске XSS-уязвимостей есть ещё задания на сайте http://escape.alf.nu/.