モダンなブラウザにおいて、CSSインジェクションはXSSの脅威が内在しているのか、という興味・探究心から考察した。なお、現状は組み合わせ技の程度で、途中経過を取りまとめた記事である。

JavaScriptはCSSインジェクションのDOMを見るか？ / Possibility of DOM based XSS attack by Pseudo-elements from CSS Injection

先月くらいにGitHubのザコいXSSを報告しました。大したXSSではないです。

GitHubのXSSの話 / XSS report on gist

日々の健全なXSSにお役立てください。 ●極力短いコードでXSS ●CSSを駆使して即時発火させる ●記号を使わないXSS ●WAFをバイパスしそうなXSS ●hiddenでXSS ●引用符で文字列を囲まないalert

今日から始めるXSS / XSS Tips