ThisIsOne https://blog.hatena.ne.jp/ThisIsOne/ Shikata Ga Nai https://cysec148.hatenablog.com/ Web Security Academy XSS Hello there, ('ω')ノ JavaScriptのコード内で、ユーザー入力が文字列リテラルとして埋め込まれている場合、適切な対策が施されていないと、攻撃者はその文字列から抜け出して任意のコードを実行することが可能です。 🔍 攻撃の概要 例えば、以下のようなコードがあるとします： var searchTerm = 'ユーザー入力'; この場合、攻撃者が特別に細工した入力を提供することで、searchTermの値を操作し、任意のJavaScriptコードを実行させることができます。 🛠️ 文字列からの脱出とコード挿入のテクニック 以下は、文字列リテラルから抜け出し、任意のコードを挿入す… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fcysec148.hatenablog.com%2Fentry%2F2025%2F06%2F04%2F072803" title="JavaScript文字列内でのXSS脆弱性の悪用方法 - Shikata Ga Nai" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2025-06-04 07:28:03 rich https://cysec148.hatenablog.com/entry/2025/06/04/072803 1.0 100%