Узнайте, как найти и использовать XSS-уязвимости с помощью Google XSS Game

В 2016 году британская компания по обеспечению безопасности Acunetix обнаружила, что 33% веб-сайтов и веб-приложений уязвимы для XSS . Это число на 5% меньше, чем за предыдущий год, но это по-прежнему одна из самых распространенных уязвимостей. Фактически, каждый выпуск безопасности WordPress за последний год включал исправления для уязвимостей межсайтового скриптинга (XSS), включая 4.5.2, 4.5.3, 4.6.1, 4.7.1, 4.7.2 и многие другие предыдущие выпуски. .

Google создал забавную и обучающую игру XSS , которая учит новых охотников за ошибками, как находить и использовать уязвимости XSS. Каждая задача учит студентов, как внедрить скрипт, чтобы вызвать всплывающее окно alert() в учебном приложении. Первые несколько уровней довольно просты, и постепенно они усложняются.

Он был разработан для разработчиков, которые работают над веб-приложениями, но не специализируются на безопасности. Цель игры Google — помочь разработчикам лучше распознавать уязвимости в их собственном коде:

Эта игра безопасности состоит из нескольких уровней, напоминающих реальные приложения, уязвимые для XSS — ваша задача будет заключаться в том, чтобы найти проблему и атаковать приложения, подобно тому, что может сделать злой хакер.

Ошибки XSS распространены, потому что они имеют неприятную привычку появляться везде, где веб-приложение имеет дело с ненадежным входом. Наша мотивация состоит в том, чтобы выделить общие шаблоны кодирования, которые приводят к XSS, чтобы помочь вам обнаружить их в своем коде.

Вступление к игре искушает новичков отточить свои навыки обещаниями платить наемникам до 7500 долларов за обнаружение XSS-ошибок в самых секретных продуктах Google. Он дает хорошее представление о распространенных векторах атак для XSS-уязвимостей и поздравляет победителей тортом и ссылкой на более подробную XSS-документацию из коллекции ресурсов безопасности приложений Google.

Игра XSS существует уже несколько лет и предлагает интересный способ начать изучение XSS, если у вас есть несколько минут на выходных. Благодаря постоянному потоку обновлений безопасности для ядра WordPress, плагинов и тем полезно получить общее представление о том, для чего предназначены многие из этих исправлений. После небольшого обучения и практики вы сможете найти уязвимости XSS в приложениях и помочь сделать Интернет более безопасным.