Webブラウザは基本的に安全に使えるように設計されています。しかし悪意をもった開発者がセキュリティホールをつき、Webアクセスしてきた人から情報を盗み取ったり、Webブラウザをクラッシュさせたりします。 そうした脆弱性を発見するツールを開発している方が、その性能評価として使えるのがFiring Rangeです。Googleが社内で開発しているWeb脆弱性検知ツールのInquisitionをテストする際に使っているそうです。

Firing Rangeの使い方

Firing RangeではよくあるXSSなどを提示しています。

テスト中。ハッシュの中にJavaScriptを仕込む例。

リモートのファイルを読み込むデモ。

Cookieを操作するデモ。

Firing Rangeが提示するスクリプトはセキュリティ上問題のあるコードになります。どういった点が狙われるのか、それを学ぶのに役立つでしょう。ハッシュやCookieを使うなどWeb全般と言うよりはJavaScriptを活用していく中でのセキュリティホール検知ツールをターゲットにしているようです。

Googleが作っているというInquisitionもその内オープンソースになるのかも知れません。Firing Rangeは単体で利用するケースは多くないかも知れませんが、そのセキュリティ上のテクニックは学べる点が多そうです。

Firing RangeはJava/Google App Engine用のオープンソース・ソフトウェア(Apache License 2.0)です。

Firing Range google/firing-range