Hello there, ('ω')ノ
✅ よく使われる検証用コード
<script>alert(1)</script>
このコードが実行されると、画面上に「1」と表示されたアラートダイアログが表示されます。これが表示されれば、JavaScriptが実行されていることが確認できます。
⚠️ Chromeの仕様変更に注意
Chromeバージョン92(2021年7月20日以降)からは、クロスオリジンiframe内で alert() を実行できなくなりました。
そのため、一部のXSSラボやPoCでは alert() を使っても何も表示されないように見える場合があります。
✅ 代替手段:print()関数を使おう
alert()の代わりに print() を使用すれば、Chromeの制限を回避してPoCを動作確認できます。
<script>print()</script>
この関数はブラウザの印刷ダイアログを表示し、確実にスクリプトの実行を視覚的に確認できます。
🔍 まとめ:XSS検証に使える関数
| 関数 | 説明 | 備考 |
|---|---|---|
alert() |
ポップアップ表示 | Chromeの一部状況で制限あり |
print() |
印刷ダイアログ表示 | クロスオリジンiframeでも動作 |
console.log() |
デベロッパーツールのログ出力 | 視認性は低い |
実際の脆弱性診断では、alert()またはprint()でXSSが成立するかを最初に確認し、次にセッションハイジャックやフォーム改ざんなどの実践的な悪用シナリオに発展させていきます。
Best regards, (^^ゞ
