セキュリティの勉強を始めたので、クロスサイトスクリプティング(XSS)攻撃を実際に自分のローカル環境でやってみた。
ChromeとSafariでやってみたけど、なぜかうまくいかない。ソースを見るときちんとスクリプトコードが正しく表示されているので間違いなくできているはずなんだけど、スクリプトが実行されない。
もしかしてと思って、ウィンドウズの電源を入れてIEでやってみた。すると、攻撃成功。もしかすると、ChromeとSafariには単純なXSSを回避する仕組みが組み込まれているのかもしれない。
ついでに、Fire Foxでやってみると攻撃成功。
ググってみてもはっきりとした情報が出てこなかっし確証はないけど、ChromeとSafariには、クロスサイトスクリプティングを回避する仕組みがデフォルトで備わっているんだと思う。
ちなみに、参考にしている本は「PHPサイバーテロの技法―攻撃と防御の実際」です。
PHPってタイトルがついてるけど、別にPHPにそれほど関係なくセキュリティや実際のクラッキング手法について学ぶことができます。
自分はサンプルコードの必要な部分だけPythonで書き換えていろいろやってるけど、全く問題ありません。
ハッカー(クラッカー)に興味がある人で、ちょっとしたスクリプトが書ける人におすすめです。