【ツール】XSSに悪用できるぞ？UrlParamsとWebDeveloper！

先日、会社で上長の方がFirefoxを用いてWeb画面のデバッグ作業を行ってらっしゃったのを横から覗き見たときのことです。
なにやら見慣れないサイドバーが表示されているかと思うと、おもむろにそこの数値を書き換え始めました。よく見るとそのサイドバーにはhttpリクエストの値がGET、POSTともに一覧表示されていて、自由自在に値を書き換えることができるようでした。さらには上部のツールバーからメニューを選択したかと思うと、POSTで送信されていたパラメータが突然GETで送信されるようにページが書き換えられたのです。
FirefoxのWebアプリデバッグ用ツールと言えばFirebugsがあまりにも有名すぎて、私はそれ以外のツールを一切知らなかったのですが、こんなハッキングツールのようなアドオンも存在するんだなぁと感激したものでした。

早速私も仕事で使おうと思い立ち、本日調べてみましたところ、程なくして二つとも見つかりました。

まず、サイドバーに表示されていたのはコレ。
UrlParams

できることはこんな感じです。

• ブラウザが送信するGETおよびPOSTリクエストを表示することができる
• 自在に値を書き換えることができる
• さらに自分で値を追加したり、逆に送信されるはずの値を削除することもできる

脆弱性のあるWebアプリに対して攻撃を仕掛けるのにも使えそうですｗｗ
私はよい子（むしろヘタレ）のでそんなことはいたしませんけれども。


もうひとつの、GETとPOSTを入れ替えるという荒技を実現していたのがこちらのアドオン。
Web Developer 日本語版



元々は英語のアドオンで、それをこちらの作者の方が許可を得て日本語化してらっしゃるようです。
このアドオン、私は最初それこそGETとPOSTを入れ替えるだけのアドオンなんだとずっと勘違いしていた（そして、そのセンで探していたのでなかなか見つからなかった）のですが、実はものすごい多機能であったということがわかりまして、

↓以下転載

---

• クッキー、Java、JavaScript、CSSなどを無効にする
• CSSをその場で編集する
• フォームの各属性値を表示する
• 画像を非表示にする
• alt属性のない、あるいはalt属性値が空の画像を枠で囲む
• リンクのパスを表示する
• ブラウザの画面内を拡大あるいは縮小する
• テーブルのセルを表示する
• ブラウザのウィンドウおよび表示領域の幅と高さを表示する
• HTMLおよびCSSの構文をチェックする
• W3C/WCAG 1.0 あるいは米国リハビリテーション法508条でアクセシビリティをチェックする
• Webページのソースコードを表示する

---

コレでもまだ全部ではありません。あまりにも多すぎて、とてもじゃあないですが今の私には使いこなせそうもないです。会社で暇なときにちょこちょこ使ってみて機能を確かめていこうと思っています。