XSSついて改めて勉強してみた
きっかけ
社内勉強会でXSSについてやってみようと思い立った。
周りが企業LAN内での運用を前提として業務システムとかそういうWebしかやっていない中であまり、セキュリティとか気にせずに今までやってこれた。
でも、これからはそれじゃいかんよね。ということで手始めにXSS。
再勉強前のXSSについての知識
タグの開始とかエスケープしないと色々入れられちゃうよね。程度。
資料
探したところ徳丸さんのXSSの発表資料が自分の水準にしっくり来る感じ
その後
脆弱性"&'<<>\ Advent Calendar 2014の各記事を読んで『おおおっ!?』ってなったり。
XSS Gameを解いてみたり。(全部解けたら謎の達成感)
Dom Base XSSとかあまり知らない部分も見えてきて。なかなか有意義なテーマでありました。 原理は分かってても、具体的に色々出来るんですね。
*1:実際の勉強会でもこの資料を紹介させていただきました。