Тренировочная игра по поиску и эксплуатации XSS-уязвимостей

Cross-site scripting (XSS) — очень неприятная штука. Многие компании, в том числе Google, платят сторонним хакерам за поиск таких багов на своих сайтах. Чтобы научить молодёжь искать XSS, компания Google разработала тренировочную игру. Её участники должны искать и эксплуатировать уязвимости подобного типа.

Например, на первом уровне есть уязвимый сайт, который просто добавляет введённый пользователем текст в код страницы без правильной защиты. Задача — отобразить всплывающее окно alert() во фрейме с тестовым заданием. Ссылка на следующий уровень появляется только после выполнения предыдущего задания.



Источник: http://www.xakep.ru/post/62573/


Лично мне проходить этот квест очень понравилось, извлёк для себя новую информацию.



В 2014 году найти на сайтах XSS похожие на те, что на уровнях квеста - очень сложно, но эта игра - не инструкция, а может показать как мыслить при поиске, в каком месте искать итд. Думаю пригодится, будет интересно и познавательно каждому новичку.

Ссылка на квест: http://xss-game.appspot.com