🐡

JavaScript for hackersを読んだ

2022/12/28に公開

JavaScript for hackersを読んだ感想です。

感想

  • 英数字や括弧を使わないJavaScriptの実行について
  • ファジング
    • この章だけでも買う価値を感じた
    • JavaScriptのみならず他のプログラミング言語においても有用な考え方だった
    • 本当に挙動を理解したくば仕様を当たらずにファジングしろ(意訳)という言葉が心に残った
  • ブラウザエクスプロイト
    • 半分くらいの理解
    • なんかすごい...
  • XSS、プロトタイプ汚染、DOM Clobbering
    • PortSwigger WebSecurityAcademyを一通り遊んでいたので、既知の内容が多かった

読了後に読むと良さそうなもの

キヌガワ マサトさんによる括弧を使わないJavaScriptの実行方法について解説です。
Pipe演算子、激アツですね。
また、参考までにスクリプト完成までの途中経過を以下にまとめました。
https://gist.github.com/wonda-tea-coffee/c1b36771dddc30c4576a4918603a7e56

本当はこの記事は括弧を使わないJavaScriptの実行方法について書く予定だったのですが、既に優れた解説があったので感想に変えました。

DOM Clobberingについて手を動かして学ぶことができます。

クライアントサイドのプロトタイプ汚染について手を動かして学ぶことができます。

PortSwiggerのXSSチートシートです。本書で出てきたテクニックも含んでいます。眺めるだけでも楽しいです。

Discussion