ゲームのようなアプリケーション。ざっと大まかな動作をみていく。
- ガチャを回すとアイドルを入手できる。
- ガチャの際、サーバへのアクセスは発生しない(=ガチャはクライアントサイドのみで完結)
- 入手したアイドルは
idols
という名前のCookieで記録。 - レア度"SSR"のアイドル"Uzuki"を引いた場合のCookieは次のようになった:
[{"key":["ssr","0"]}]
https://gist.github.com/mala/1d30e42e9e99520b7a501e9d2458eb49
そのときのぼやき: https://twitter.com/kinugawamasato/status/828846516882116608
以下の記事の続きです。
https://gist.github.com/masatokinugawa/304d243b6a5142500b9b9efb3fb540c0
今回は、前回の記事に比べると、テクニカルなXSSの解説寄りです。 この知識が多くの人にとってどれほど役に立つかはわかりませんが、攻撃を通すまでのステップが複雑で面白かったので共有したいと思います。