読者です 読者をやめる 読者になる 読者になる

男子電通大生の日記。

とある"多摩のMIT"の男子大学生がITやゲームのことについて書いていく日記である。

広告

バグハンターに俺はなるっ!! -その1-

お久しぶりですー。どもーなんでふですー。

先日このような記事を投稿したのは覚えているでしょうかー?


uec-tarou.hatenablog.com


この記事ではバグハンターとはどういうことをする人かという紹介と、
ネット上にはどのような危険性(脆弱性)が含まれていて、
それに対してのどのような攻撃方法があるのかというのを、
簡単に紹介させていただきましたー。


んで、今回からは具体的に何をしていくかと言いますと・・・

攻撃方法を紹介したわけですが、その実際の攻撃方法と対処法について、紹介していこうと思いますー。

ただし、ここで紹介するのはあくまでの一例に過ぎないので、
「この危険性だけの対処を行なっていれば安心❤️」ってことはないので、悪しからず・・・・。


「その1」で紹介するのはコチラ!!


クロス・サイト・スクリプティング

略してXSS


について、紹介していきます!

XSSって?

クロスサイトスクリプティングとは、ネットワークを通じた攻撃手法の一つで、保安上の弱点(脆弱性)のあるWebサイトを踏み台に、悪意のあるプログラムをそのサイトの訪問者に送り込む手法。
電子掲示板のように、閲覧者から送信されたデータをコンテンツの一部として他の閲覧者に見せるようなプログラムがあるWebサイトで生じる脆弱性および攻撃手法で、攻撃者が外部のサイトに用意した悪意のあるスクリプトをターゲットのサイトに注入して閲覧者に送信することから「クロスサイト」(サイト横断)という名称が付けられた。
(引用:クロスサイトスクリプティングとは|XSS|Cross Site Scripting − 意味 / 定義 / 解説 / 説明 : IT用語辞典)


上記の引用文にも記載してあるように、電子掲示板サイトなどで多発している脆弱性になりますー。
入力フォーム等を設置しているwebサイトやwebアプリケーションを公開している人は要注意ですー。


では実際にこの攻撃方法を試してみましょうー。

今回、実験に使用させていただいたのはGoogleが公開している「XSS game」というサイトですー。

では早速やっていきましょー。

アクセスしてみると・・・

f:id:uec-tarou:20161226135442p:plain


黒背景に白字といういかにも「ハッキング!」って感じの画面が出てきましたー。

では緑のところを押してみましょー。

「Let me at 'em!」

教えてちょーだい!!!

XSS Level1

さぁここを押すとレベル1からスタートしますー。

f:id:uec-tarou:20161226140127p:plain


まぁタイトルはプログラミングをしたことある人ならわかると思いますが、
Hello Worldって書かれてるんで、初心者レベルってことはわかると思いますー。


んで、今回攻撃していくサイトはこちらー。

[サイト]
f:id:uec-tarou:20161226140559p:plain

では早速やってみましょー。

まず最初に、入力フォームに「a」と入力してみましょー。

f:id:uec-tarou:20161226142020p:plain

すると、

f:id:uec-tarou:20161226142931p:plain

「Sorry, no results were found for a.」と表示が・・・。

まぁ入力した文字がそのまま出力されているのかなと予想できますよねー。

じゃあ次に

<font color='red'>a</font>

って入力するとどうなるんでしょうか?

これで文字が赤くなると大問題なのですけど・・・。


f:id:uec-tarou:20161226143439p:plain

ドドン!

f:id:uec-tarou:20161226143409p:plain


あちゃー赤くなっちゃった・・・。

ソースコードを見てみましょー。

f:id:uec-tarou:20170119173743p:plain

入力された文字がそのまま出力されていますねー。

んで今回の課題はなんだったかと言いますとー

Inject a script to pop up a JavaScript alert() in the frame below.

Once you show the alert you will be able to advance to the next level.

アラートのポップアップを表示しろというものだったので、

<script>alert('a');</script>

を入れてあげましょー。

すると・・・

f:id:uec-tarou:20161226144400p:plain


やったぜー。次のレベルに進めるようになりますー。


では今日はこの辺でー。
次回はXSS game Level2の攻略をしていこうと思いますー。

くれぐれも、いろんなサイトでやっちゃダメよ・・・。
攻撃と間違われちゃうのでねー。



ではここで一句。

script
囲めばアラート
出ちゃうかも?




お後がよろしいようで。