Межсайтовый скриптинг (XSS) : руководство 2021 года [Udemy] [Christophe Limpalair/Cybr Training]
Последнее обновление: 01/2021
Язык: Английский + англ. субтитры + русские субтитры (google translate)
Рейтинг: 4,8 из 5
Общая продолжительность 4,5 час
Чему вы научитесь:
Добро пожаловать на курс по межсайтовому скриптингу (XSS)! В этом курсе мы исследуем один из самых больших рисков, с которыми сегодня сталкиваются веб-приложения.
Я потратил месяцы на создание и сбор лучших ресурсов по XSS, чтобы поместить их в этот курс, чтобы вы могли изучать XSS весело, эффективно и практично.
Мы начинаем с объяснения концепций XSS и его трех основных типов: отраженного, хранимого и основанного на DOM. Затем мы анализируем недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok. После этого мы создаем безопасные и легальные лабораторные среды для выполнения всех трех типов атак как с ручным, так и с автоматическим подходом. Затем мы устанавливаем, настраиваем и используем мощную среду эксплуатации браузера под названием BeEF для доставки полезной нагрузки, которая перехватывает ничего не подозревающие браузеры и позволяет вам отправлять команды этим браузерам удаленно.
Оттуда вы можете запускать ряд различных атак из BeEF с помощью командных модулей (например: сканировать внутренние сети, деактивировать веб-сайты, взламывать маршрутизаторы и т. Д.).
Это важный шаг, потому что он демонстрирует, насколько мощной может быть простая полезная нагрузка XSS и почему так важно защищать свои приложения от этой серьезной угрозы.
После этого мы применяем все, что узнали, и тестируем OWASP Juice Shop, начиная со сбора информации, а затем используем все 3 типа XSS для выполнения задач различной сложности.
Наконец, мы завершаем курс обсуждением наиболее (и наименее эффективных) средств защиты, включая правила, чит-листы и рекомендуемые методы проверки кода для правильной защиты ваших приложений от этой опасной угрозы.
Если вы ищете практический способ изучения межсайтового скриптинга, это ваш курс!
Темы, которые мы рассмотрим
Меня зовут Кристоф Лимпалэр, и я помог тысячам людей пройти ИТ-сертификаты, научиться использовать облако и разрабатывать безопасные приложения. Я начал заниматься ИТ в 11 лет и случайно попал в мир кибербезопасности. Перенесемся в сегодняшний день, и я стал соучредителем быстрорастущего сообщества по кибербезопасности Cybr, которое также предоставляет ресурсы для обучения.
Поскольку у меня возник сильный интерес к программированию и облачным вычислениям, в последние несколько лет я сосредоточил свое внимание на обучении тысяч людей из малого, среднего и крупного бизнеса (включая Fortune 500) тому, как использовать облачных провайдеров (таких как Amazon Web Services). ) эффективно и как разрабатывать более безопасные приложения.
Я читал сертификационные курсы, такие как AWS Certified Developer, AWS Certified SysOps Administrator и AWS Certified DevOps Professional, а также курсы без сертификации, такие как Introduction to Application Security (AppSec), SQL Injection Attacks, Introduction to OS Command Injection. , Lambda Deep Dive, стратегии резервного копирования и другие.
Работая с отдельными участниками, а также с менеджерами, я понял, что большинство из них также сталкивается с серьезными проблемами, когда дело касается кибербезопасности.
Копнув глубже, стало ясно, что специально для AppSec не хватает обучения. Как мы исследуем в этом курсе, XSS слишком распространен и может иметь разрушительные последствия для организаций, независимо от их размера.
Пришло время взять безопасность в свои руки и научиться создавать более безопасное программное обеспечение, чтобы сделать мир более безопасным! Присоединяйтесь ко мне на курсе, и мы это сделаем!
Для кого этот курс:
Последнее обновление: 01/2021
Язык: Английский + англ. субтитры + русские субтитры (google translate)
Рейтинг: 4,8 из 5
Общая продолжительность 4,5 час
Чему вы научитесь:
- Посмотрите в действии на опасность XSS
- Узнайте, что такое XSS и как он работает
- Изучите 3 основных типа XSS: отраженный, сохраненный и основанный на DOM.
- Выполняйте XSS-атаки вручную и с помощью автоматизированных инструментов
- Легально и безопасно атакуйте приложения, чтобы практиковать то, что вы изучаете
- Сравнивайте уязвимый и безопасный код бок о бок, чтобы изучить лучшие практики
- Изучите эффективные средства защиты для защиты ваших приложений
- Изучите недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok.
Добро пожаловать на курс по межсайтовому скриптингу (XSS)! В этом курсе мы исследуем один из самых больших рисков, с которыми сегодня сталкиваются веб-приложения.
Я потратил месяцы на создание и сбор лучших ресурсов по XSS, чтобы поместить их в этот курс, чтобы вы могли изучать XSS весело, эффективно и практично.
Мы начинаем с объяснения концепций XSS и его трех основных типов: отраженного, хранимого и основанного на DOM. Затем мы анализируем недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok. После этого мы создаем безопасные и легальные лабораторные среды для выполнения всех трех типов атак как с ручным, так и с автоматическим подходом. Затем мы устанавливаем, настраиваем и используем мощную среду эксплуатации браузера под названием BeEF для доставки полезной нагрузки, которая перехватывает ничего не подозревающие браузеры и позволяет вам отправлять команды этим браузерам удаленно.
Оттуда вы можете запускать ряд различных атак из BeEF с помощью командных модулей (например: сканировать внутренние сети, деактивировать веб-сайты, взламывать маршрутизаторы и т. Д.).
Это важный шаг, потому что он демонстрирует, насколько мощной может быть простая полезная нагрузка XSS и почему так важно защищать свои приложения от этой серьезной угрозы.
После этого мы применяем все, что узнали, и тестируем OWASP Juice Shop, начиная со сбора информации, а затем используем все 3 типа XSS для выполнения задач различной сложности.
Наконец, мы завершаем курс обсуждением наиболее (и наименее эффективных) средств защиты, включая правила, чит-листы и рекомендуемые методы проверки кода для правильной защиты ваших приложений от этой опасной угрозы.
Если вы ищете практический способ изучения межсайтового скриптинга, это ваш курс!
Темы, которые мы рассмотрим
- Что такое межсайтовый скриптинг (XSS) и как он работает
- 3 основных типа XSS: отраженный, постоянный и основанный на DOM.
- Недавние практические примеры XSS-уязвимостей в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok.
- Как бесплатно настроить лабораторную среду с виртуальной машиной Kali Linux
- Как легко настроить и создать безопасную и легальную лабораторную среду с использованием контейнеров внутри Kali
- Как начать работу с OWASP ZAP (бесплатная альтернатива Burp Suite)
- Методы XSS со шпаргалками и ссылками
- Как использовать созданные вручную полезные данные для обхода фильтров безопасности
- Как использовать автоматизированные инструменты для поиска успешных полезных нагрузок XSS (включая ZAP, XSStrike, XSSer)
- Как удаленно управлять браузерами с помощью BeEF
- Как собрать информацию о вашей цели, чтобы найти потенциальные уязвимости
- Как выполнять XSS-инъекции вручную с помощью созданных запросов с помощью прокси-инструмента (ZAP)
- Как использовать результаты успешных инъекций для использования целей (например, изменить пароль пользователя с помощью одного URL-адреса через CSRF)
- Эффективная (и неэффективная) защита от XSS
- Параллельное сравнение уязвимого и безопасного кода
- Шпаргалки для защиты ваших приложений
- Правила, которым необходимо следовать, чтобы предотвратить уязвимости XSS для всех 3 типов атак
- Как проверить код на наличие XSS-уязвимостей
- Рекомендуемые руководства по тестированию
Меня зовут Кристоф Лимпалэр, и я помог тысячам людей пройти ИТ-сертификаты, научиться использовать облако и разрабатывать безопасные приложения. Я начал заниматься ИТ в 11 лет и случайно попал в мир кибербезопасности. Перенесемся в сегодняшний день, и я стал соучредителем быстрорастущего сообщества по кибербезопасности Cybr, которое также предоставляет ресурсы для обучения.
Поскольку у меня возник сильный интерес к программированию и облачным вычислениям, в последние несколько лет я сосредоточил свое внимание на обучении тысяч людей из малого, среднего и крупного бизнеса (включая Fortune 500) тому, как использовать облачных провайдеров (таких как Amazon Web Services). ) эффективно и как разрабатывать более безопасные приложения.
Я читал сертификационные курсы, такие как AWS Certified Developer, AWS Certified SysOps Administrator и AWS Certified DevOps Professional, а также курсы без сертификации, такие как Introduction to Application Security (AppSec), SQL Injection Attacks, Introduction to OS Command Injection. , Lambda Deep Dive, стратегии резервного копирования и другие.
Работая с отдельными участниками, а также с менеджерами, я понял, что большинство из них также сталкивается с серьезными проблемами, когда дело касается кибербезопасности.
Копнув глубже, стало ясно, что специально для AppSec не хватает обучения. Как мы исследуем в этом курсе, XSS слишком распространен и может иметь разрушительные последствия для организаций, независимо от их размера.
Пришло время взять безопасность в свои руки и научиться создавать более безопасное программное обеспечение, чтобы сделать мир более безопасным! Присоединяйтесь ко мне на курсе, и мы это сделаем!
Для кого этот курс:
- Веб-разработчики
- Пентестеры
- Разработчики программного обеспечения
- Инженеры по безопасности приложений
- ИТ-менеджеры
- Риск-аналитики
- Аналитики по безопасности
- Студенты IT
https://www.udemy.com/course/cross-site-scripting-xss-the-guide/