Cross Site Scripting (XSS) 是一種常見的網站安全漏洞,允許攻擊者將惡意程式碼注入到網頁中,使得該程式碼可以在受害者的瀏覽器中執行。這種漏洞通常出現在未能適當處理用戶輸入的網頁應用程式中,並可以用來竊取用戶敏感資訊、劫持會話、修改網頁內容等。
我覺得 Cross Site Scripting (XSS) 是一個很有趣的漏洞。它是一個相當不好防禦的漏洞,存在各式各樣的利用與繞過的手法。有時候檢測時,也隱約會發現漏洞應該是存在的,但是因為一些過濾、編碼、轉譯,或是其他防禦手段,導致無法成功利用漏洞。就需要耗費腦力與時間,思考與測試,想辦法構造出一個可以觸發 XSS 的 Payload。
相信不少人也都有同樣的想法,覺得 XSS 很有趣或是有挑戰性。或是認為 XSS 影響很嚴重。也因此網路上有出現許多關於 XSS 相關的練習、挑戰、學習的平台。
最近在台大教課(滲透測試)的時候,有把 Google 的 XSS Game 放在教材當中讓學生作為練習。這邊也一併整理一些比較常見或是知名的 XSS 挑戰與練習平台,供大家參考。這篇文章只做平台的整理,沒有 XSS 教學,也不會附上任何的 Write-up / Walkthrough。
對於學習滲透測試有興趣的人,可以挑一兩個網站,嘗試努力去了解與通過前面的幾個關卡。至少對於 XSS 的漏洞原理與檢測技能,達到基本的門檻。而若對於 XSS 進階手法或漏洞挖掘有興趣的話,可以盡可能去深入了解每個挑戰每個關卡。
XSS Game (2014)
XSS Game (2014):
第一個是 Google 的 XSS Game,估計可能是最多人玩過的,
從 2014 開始由創立的一個 XSS 挑戰遊戲,完成後會有一個虛擬蛋糕。
然後 Google 也有提到他們很重視 XSS 漏洞的影響和重要性,所以大家有興趣也可以去挖 Google 產品的漏洞賺賺獎金。
At Google, we know very well how important these bugs are. In fact, Google is so serious about finding and fixing XSS issues that we are paying mercenaries up to $7,500 for dangerous XSS bugs discovered in our most sensitive products.
XSS Challenges
XSS Challenges:
第二個是 XSS Challenges,比 XSS Game 更早就出現的一個 XSS 挑戰遊戲。
這個網站好久好久了,至少在 2010 年就出現了(因為有看到別人 2010 寫的 write-up 文章)
可以看到它寫 inspired by http://blogged-on.de/xss/,但連線過去該網站沒東西了
在積分榜看,應該總共是有 20 題(超多的 XD)
alert(1) to win
2016-2017 年期間出現的 XSS 挑戰網站
也很多題,無法確定總共有幾題
alert(1) to win:
XSS Game (2017)
XSS Game (2017):
這個也是 2017 年被建立的挑戰網站,然後目前連過去的話,它的憑證是過期的。
網站是否安全本人不負責 XD
個人覺得滿特別的,因為網路上都說是 Google 所提供的新版 XSS Game 遊戲網站,
然後的確看內容也像是Google的。
不過不知道為什麼第一個前面提到的 XSS Game 2014 憑證有維護,但是 XSS Game 2017 卻沒有。
PwnFunction XSS Game
PwnFunction XSS Game:
2019-2020 間建立的網站,相對來說比較新一點。
由 @PwnFunction 建立跟維護
XSS Labs
XSS Labs:
https://github.com/do0dl3/xss-labs
接著這個 XSS Labs 比較特別一點,是 Github 專案。
這邊只提供原始碼,可以自己架來玩就好。
網路上也是可以找到有人架設的,這邊就沒有推薦誰架的,有需要再自己找看看。
