読者です 読者をやめる 読者になる 読者になる

cocuh's note

type(あうとぷっと) -> 駄文

XSS challengesクリアしました

xss界隈で有名なXSS challengesにセキュキャンの事前課題で挑戦しました。

xssでalert(document.domain)が出来れば成功、次のステージのリンクが現れるものです。
一言で言うと楽しかったです。悩んでる時は非常に辛かったですが('A`)

xssの基本的なテクニックを一つづつやっているようだったので、
web学びたての私にも丁度良かったなと思います。

ブラウザはIE推奨のようで、
いつものlinux+firefoxではalertできないものもあったりしました。
VMのwindowsさんに活躍してもらいました。

寄り道してブラウザごとに挙動が違うのを確認したりするのも楽しかったです。
非常に勉強になったので作成者のyamagata21氏に感謝します。

(正答じゃないのでネタバレじゃないかなと思ってちょっと晒します)

例えばstage11をiframeでdata uri scheme使ってalertを出させられますが、
firefoxではalertでドメインがでてくれる、
chromeではalertはでるけどドメインがでるはずの部分が空白、
・IE10ではiframeのdata uriがうまく動いてくれなかったり(なんでだろう…)
とブラウザで挙動が違いました。
ちなみに、iframeでやったものは次のステージへのリンクが(私が確認したすべてで)出現しないので、
正答じゃないのだろうなぁと…わりと悩みました