JavaScript for hackersを読んだ

JavaScript for hackersを読んだ感想です。

感想

• 英数字や括弧を使わないJavaScriptの実行について
  • 著者のExecuting non-alphanumeric JavaScript without parenthesisを既に読んでいたため、何となく理解はしていたが手を動かすことでだいぶ理解ができた
• ファジング
  • この章だけでも買う価値を感じた
  • JavaScriptのみならず他のプログラミング言語においても有用な考え方だった
  • 本当に挙動を理解したくば仕様を当たらずにファジングしろ（意訳）という言葉が心に残った
• ブラウザエクスプロイト
  • 半分くらいの理解
  • なんかすごい...
• XSS、プロトタイプ汚染、DOM Clobbering
  • PortSwigger WebSecurityAcademyを一通り遊んでいたので、既知の内容が多かった

読了後に読むと良さそうなもの

• 5文字で書くJavaScript/ Shibuya.XSS techtalk #10

キヌガワ マサトさんによる括弧を使わないJavaScriptの実行方法について解説です。
Pipe演算子、激アツですね。
また、参考までにスクリプト完成までの途中経過を以下にまとめました。
https://gist.github.com/wonda-tea-coffee/c1b36771dddc30c4576a4918603a7e56

本当はこの記事は括弧を使わないJavaScriptの実行方法について書く予定だったのですが、既に優れた解説があったので感想に変えました。

• https://portswigger.net/web-security/dom-based/dom-clobbering

DOM Clobberingについて手を動かして学ぶことができます。

• https://portswigger.net/web-security/prototype-pollution

クライアントサイドのプロトタイプ汚染について手を動かして学ぶことができます。

• https://portswigger.net/web-security/cross-site-scripting/cheat-sheet

PortSwiggerのXSSチートシートです。本書で出てきたテクニックも含んでいます。眺めるだけでも楽しいです。