Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

從冷知識到漏洞,你不懂的 Web,駭客懂 - Huli @ WebConf Taiwan 2025

Avatar for Huli Huli
December 13, 2025
Programming
1
420

從冷知識到漏洞,你不懂的 Web,駭客懂 - Huli @ WebConf Taiwan 2025

Avatar for Huli

Huli

December 13, 2025
Tweet

More Decks by Huli

See All by Huli
ModernWeb 2018 - 輕鬆應付複雜的非同步操作:RxJS + Redux Observable
Avatar for Huli aszx87410
0
220
Attacking web without JS - CSS injection
Avatar for Huli aszx87410
0
3.3k
Front-end Security that Front-end developers don't know
Avatar for Huli aszx87410
2
5.8k
你懂了 JavaScript,也不懂 JavaScript - MOPCON 2021
Avatar for Huli aszx87410
3
1.2k
接觸資安才發現前端的水真深 - Modern Web 2021
Avatar for Huli aszx87410
0
2.5k
JSDC2020 - 用 API mocking 讓前端不再苦等待
Avatar for Huli aszx87410
0
1.3k

Other Decks in Programming

See All in Programming
AIコーディングエージェント(Manus)
Avatar for kondai kondai24
0
160
UIデザインに役立つ 2025年の最新CSS / The Latest CSS for UI Design 2025
Avatar for IKEDA Yasunobu clockmaker
18
7.2k
チームをチームにするEM
Avatar for hitode909 hitode909
0
290
Tinkerbellから学ぶ、Podで DHCPをリッスンする手法
Avatar for Tomofumi Kondo tomokon
0
120
ローターアクトEクラブ アメリカンナイト:川端 柚菜 氏(Japan O.K. ローターアクトEクラブ 会長):2720 Japan O.K. ロータリーEクラブ2025年12月1日卓話
Avatar for 2720 Japan O.K. ロータリーEクラブ 2720japanoke
0
720
まだ間に合う!Claude Code元年をふりかえる
Avatar for nogu nogu66
2
300
Developing static sites with Ruby
Avatar for Masafumi Okura okuramasafumi
0
250
開発に寄りそう自動テストの実現
Avatar for Hiroki Iseri goyoki
1
750
認証・認可の基本を学ぼう前編
Avatar for kaza kouyuume
0
190
全員アーキテクトで挑む、 巨大で高密度なドメインの紐解き方
Avatar for Agata Naomichi agatan
8
20k
MAP, Jigsaw, Code Golf 振り返り会 by 関東Kaggler会|Jigsaw 15th Solution
Avatar for s.konishi hasibirok0
0
230
CSC509 Lecture 14
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
220

Featured

See All Featured
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.6k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
1
93
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Done Done
Avatar for chrislema chrislema
186
16k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.2k
Navigating Team Friction
Avatar for Lara Hogan lara
191
16k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.9k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.2k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.8k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k

Transcript

  1. 從冷知識到漏洞 你不懂的 Web,駭客懂 Huli @ WebConf Taiwan 2025

  2. Huli ( Front-end | Security ) Engineer 八成 coding 交給

    AI,另外兩成⾃⼰來

  3. 漏洞分三種

  4. 「我知道有漏洞 
 但上線快來不及了 😠」 「你先建票,我們之後修」

  5. 「好像有碰過但我忘了 🤔」

  6. 「我不知道這樣寫有問題 😱」

  7. None

  8. ⽤ email 找出 user 寄信

  9. ⽤ email 找出 user 寄信 user.email ⼀定與 email 相等嗎?

  10. mysql> 
 SELECT 'gmail.com' = 'GMAIL.com' COLLATE utf8mb4_unicode_ci; 
 +----------------------------------------------------+

    | 'gmail.com' = ‘GMAIL.com' COLLATE utf8mb4_unicode_ci | +----------------------------------------------------+ | 1 | +----------------------------------------------------+ 1 row in set (0.00 sec)

  11. mysql> 
 SELECT 'gmail.com' = 'gmaÎĹ.com' COLLATE utf8mb4_unicode_ci; 
 +----------------------------------------------------+

    | 'gmail.com' = 'gmaÎĹ.com' COLLATE utf8mb4_unicode_ci | +----------------------------------------------------+ | 1 | +----------------------------------------------------+ 1 row in set (0.00 sec)

  12. 12.14.1 Collation Implementation Types utf8mb4_general_ci is an example: 'a', 'A',

    'À', and 'á' each have di ff erent character codes but all have a weight of 0x0041 and compare as equal. mysql> SELECT c1, HEX(c1), HEX(WEIGHT_STRING(c1)) FROM t1; +------+---------+------------------------+ | c1 | HEX(c1) | HEX(WEIGHT_STRING(c1)) | +------+---------+------------------------+ | a | 61 | 0041 | | A | 41 | 0041 | | À | C380 | 0041 | | á | C3A1 | 0041 | +------+---------+------------------------+ 4 rows in set (0.00 sec)

  13. ⽤ email 找出 user 寄信

  14. test@gmaÎĹ.com = [email protected] 寄信 test@gmaÎĹ.com

  15. None

  16. user.email ____

  17. Credit to Voorivex

  18. 不同 context 的相等就是不相等 防禦⼼法第⼀條

  19. None

  20. 移除特殊字元 取代

  21. JavaScript 是世界上
 最好的程式語⾔ ~ 胡適
 沒有說過

  22. None

  23. const tmpl = 'hello{name}world' $` $' tmpl.replace("{name}","huli") hellohuliworld

  24. const tmpl = 'hello{name}world' $` $' tmpl.replace("{name}","huli") tmpl.replace("{name}","$`") hellohuliworld hellohelloworld

  25. const tmpl = 'hello{name}world' $` $' tmpl.replace("{name}","huli") tmpl.replace("{name}","$`") tmpl.replace("{name}","$'") hellohuliworld

    hellohelloworld helloworldworld

  26. const tmpl = 'hello{name}world' $` $' tmpl.replace("{name}","huli") tmpl.replace("{name}","$`") tmpl.replace("{name}","$'") tmpl.replace("{name}","huli$'")

    hellohuliworld hellohelloworld helloworldworld hellohuliworldworld

  27. <button value="{{value}}">click</button> $` $'

  28. <button value="{{value}}">click</button> $` $' $` 123 <button value="<button value=" 123">click</button>

  29. <button value="{{value}}">click</button> $` $' $` 123 <button value="<button value=" 123">click</button>

    <button value="<button value=" 123">click</button>

  30. <button value="{{value}}">click</button> $` $' $` 123 <button value="<button value=" 123">click</button>

    <button value="<button value=" 123">click</button> $` onclick='alert()' <button value="<button value=" onclick='alert()'">click</button>

  31. Credit to nitowa

  32. 在 AI 取代⼈之前,先⼩⼼你的字串被取代 防禦⼼法第⼆條

  33. None
  34. None
  35. None
  36. None
  37. None
  38. None
  39. None
  40. None

  41. 你的警告我知道了,但這很安全我已經 clean 了,你多慮了

  42. None

  43. Credit to Jordy Versmissen

  44. None
  45. None
  46. None
  47. None
  48. None

  49. 防禦⼼法第三條

  50. 寫好測試,確保你的 output 是對的 防禦⼼法第三條

  51. None

  52. dangerouslySetInnerHTML?

  53. dangerouslySetInnerHTML: { __html: "…" }

  54. onclick / onClick?

  55. None
  56. None
  57. None

  58. on 開頭會被 ignore

  59. 被過濾

  60. 機會在這

  61. Bingo!

  62. Bingo! 順帶⼀提,React 19 開始把這個好玩的 feature 改掉了...

  63. Credit to zwade

  64. 防禦⼼法第四條

  65. None
  66. None
  67. None

  68. .* [<] .* [>=] .* <svg><<<<<<<<

  69. .* [<] .* [>=] .* <svg><<<<<<<< 1. 配對所有 .*

  70. .* [<] .* [>=] .* <svg><<<<<<<< 2. 試圖配對 [<] 發現找不到

  71. .* [<] .* [>=] .* <svg><<<<<<<< 3. 回退⼀個字

  72. .* [<] .* [>=] .* <svg><<<<<<<< 4. 現在配對到 [<] 了

  73. .* [<] .* [>=] .* <svg><<<<<<<< 5. .* 可以配對到空字元,下⼀步

  74. .* [<] .* [>=] .* <svg><<<<<<<< 6. [>=] 配對不到,回退

  75. .* [<] .* [>=] .* <svg><<<<<<<< 7. 回退完變這樣,留最後兩個

  76. .* [<] .* [>=] .* <svg><<<<<<<< 8. [<] 配對⼀個字

  77. .* [<] .* [>=] .* <svg><<<<<<<< 9. .* 配對剩餘全部

  78. .* [<] .* [>=] .* <svg><<<<<<<< 10. ⼜配對不到,回退

  79. .* [<] .* [>=] .* <svg><<<<<<<< 11. 留最後三個

  80. 不同程式語⾔的配對引擎不同

  81. None
  82. None
  83. None
  84. None
  85. None
  86. None

  87. Credit to phith0n

  88. None

  89. 防禦⼼法第五條 謹慎使⽤ /regex/

  90. 複習 1. MySQL unicode => context 的不相等 2. JS replace

    時請⼩⼼謹慎 3. Clean 不是真的 clean,join 不是真的 join 4. React is => 不要全盤相信使⽤者輸入 5. ⼩⼼使⽤ regex

  91. 複習 1. MySQL unicode => context 的不相等 2. JS replace

    時請⼩⼼謹慎 3. Clean 不是真的 clean,join 不是真的 join 4. React is => 不要全盤相信使⽤者輸入 5. ⼩⼼使⽤ regex

  92. 複習 1. MySQL unicode => context 的不相等 2. JS replace

    時請⼩⼼謹慎 3. Clean 不是真的 clean,join 不是真的 join 4. React is => 不要全盤相信使⽤者輸入 5. ⼩⼼使⽤ regex

  93. 複習 1. MySQL unicode => context 的不相等 2. JS replace

    時請⼩⼼謹慎 3. Clean 不是真的 clean,join 不是真的 join 4. React is => 不要全盤相信使⽤者輸入 5. ⼩⼼使⽤ regex

  94. 複習 1. MySQL unicode => context 的不相等 2. JS replace

    時請⼩⼼謹慎 3. Clean 不是真的 clean,join 不是真的 join 4. React is => 不要全盤相信使⽤者輸入 5. ⼩⼼使⽤ regex

  95. 佛系分享各種東⻄,剛好偶爾講到資安 「Huli 隨意聊」