XSSついて改めて勉強してみた - 何か着ていればいいよ

きっかけ

社内勉強会でXSSについてやってみようと思い立った。
周りが企業LAN内での運用を前提として業務システムとかそういうWebしかやっていない中であまり、セキュリティとか気にせずに今までやってこれた。
でも、これからはそれじゃいかんよね。ということで手始めにXSS。

タグの開始とかエスケープしないと色々入れられちゃうよね。程度。

探したところ徳丸さんのXSSの発表資料が自分の水準にしっくり来る感じ

脆弱性"&'<<>\ Advent Calendar 2014の各記事を読んで『おおおっ！？』ってなったり。

<a href="http://www.adventar.org/calendars/622">脆弱性&quot;&amp;&#39;&lt;&lt;&gt;\ Advent Calendar 2014 - Adventar</a>

XSS Gameを解いてみたり。（全部解けたら謎の達成感）

Dom Base XSSとかあまり知らない部分も見えてきて。なかなか有意義なテーマでありました。原理は分かってても、具体的に色々出来るんですね。

*1:実際の勉強会でもこの資料を紹介させていただきました。