SQSecurePatch QuestWhite Hat Training

Mission

コメント掲示板から script を追い出せ

コメント掲示板アプリは投稿されたテキストをそのままHTMLに埋め込んで表示している。攻撃者が <script> や onerror などを混ぜたコメントを投稿すると、閲覧した別のユーザーのブラウザでスクリプトが動いてしまう。攻撃テストで動作を確認し、出力時に正しくエスケープするコードへ修正する。

ユーザー入力をHTMLとしてそのまま結合しているため、タグやイベントハンドラがブラウザに「コード」として解釈されてしまいます。出力時にHTMLエスケープして「ただの文字列」として表示する方向の修正を目指します。

脆弱性

XSS

難易度

Easy

状態

available

Difficulty

出題モードを選ぶと、プレビュー有無・ヒント・スコア上限が変わります。

現在ステップ: Step 1状態: 未開始

次にやること: 攻撃テストを実行

Step 1

攻撃テスト

コメント投稿フォームに <script> を仕込んだ疑似攻撃を実行し、HTML にそのまま埋め込まれることを確認しましょう。

Lightweight Preview

Comment Board / mvp-0.2

GET /comments

static

Payload

<script>window.__pwned__=true</script>

この問題は低メモリ公開版では軽量プレビューです。検証は静的パッチ判定で行います。

自動攻撃で検証

未実行

$ automated-attack

使用ペイロード: <script>window.__pwned__=true</script>

ボタンを押すと、左のプレビューを手動で操作しなくても 脆弱性の有無を即座に判定します。

実際の脆弱アプリケーションに対して攻撃を実行し、防御を検証します。