Google推出XSS捉虫游戏,帮助网站开发人员提高安全意识

跨站脚本攻击(XSS)是目前最常见的网络攻击,大量的木马都是通过XSS进行传播的,而XSS漏洞也是网站开发人员所容易犯的错误之一。为了帮助企业和研究人员更好的发现XSS漏洞, Google上周推出了一款名为XSS-Game的游戏,用游戏化的方式帮助网站开发人员和网站安全人员理解和发现XSS漏洞。

clip_image002

谷歌这款游戏由Google的工程师IlyaGrigorik发布,他在Google+上提到,这款游戏旨在鼓励网站开发人员进行更加安全的网站开发。

XSS漏洞的可能产生的方式有很多,最常见的就是网站对用户输入不做检查。如果攻击者利用这样的漏洞把恶意的Javascript代码植入网页,这样的恶意代码可能是一个虚假的用户登录框,也可能是把用户跳转到攻击者的恶意网站上去。或者黑客还可以获取用户的Session Cookie,这样黑客就可能通过自己的机器来控制用户账户。对于XSS攻击来说,用户在大部分情况下根本不知道正在遭受攻击。

尽管XSS漏洞很容易修复,根据OWASP的报告, XSS依然是网站漏洞的三大威胁之一。而Google希望能通过游戏的方式,帮助那些没有多少网络安全经验的网站开发工程师来理解并避免XSS。

在Google的游戏说明里, Google写道“在Google,我们非常清楚这些XSS漏洞的危害性,事实上,我们对在我们的重要产品中发现严重的XSS漏洞会给予高达7500美元的奖励。”

“在这个游戏里,你将会学的如何发现并且利用XSS漏洞,你将会利用这些知识来防范攻击者利用你的网站的XSS漏洞来对用户进行攻击” Google的游戏说明中写道。

这个游戏一共有六关,在每一关,通过让玩家通过网站表单或者论坛输入代码,能够让玩家了解攻击者是如何利用XSS漏洞。玩这个游戏,需要懂一点点Javascript。对那些初级游戏玩家,游戏在每一关会提供三个提示。游戏的地址在这里,本人小试了一把,过了三关,有兴趣的读者不妨一试,看你能过几关。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

        在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com