Photo by
mackj
IPAが提供する脆弱性を体験するサイトでXSSの怖さを疑似体験した話
IPAというのは情報処理推進機構のことであり、情報処理技術者試験等を主催している独立行政法人である。
今回はそこが提供しているAppGoatという脆弱性を体験するツールを使って、XSS(クロスサイトスクリプティング)を疑似体験してみた。
AppGoatをダウンロードし、最初は使い方が分からず、「?」な状態だったわけなのだが、だんだんコツをつかみ始めてきて、XSSを本格的に疑似体験することが出来た。
いやー、これマジでやべえな(結構身近な問題です)
掲示板やアンケートサイトなど、入力フォームがある場合、その入力フォームに脆弱性が隠れていたりする。そこに不正な動作をするスクリプト文を入れ込んだり、リンクも貼り付けることで、偽サイト等への誘導や不正な表示(個人情報が抜き取られました等)がされてしまう。
JavaScriptとか、PHPのことは全然分からないのだが、とりあえず解説や指示文のとおりに、いろいろと入力をしてみた。
あー、これやべえっすね(加害者気分よりも、被害にあっている感が圧倒的に勝ったのは、過去に不正なスクリプト表示で困ったことがあったからです)
情報処理安全確保支援士の学習がてら、AppGoatでXSSをある程度はやったところなので、次はSQLインジェクションについて見ていこうと思っている。というか、もはや最初のところはやってしまっているのだが。
情報処理安全確保支援士の学習をしていて、ついにある考えが自分の頭をよぎったのでした。
人を信用できない(ゼロトラストとか、もはや境地です)