Последнее обновление: 01/2021
Язык: Английский + англ. субтитры + русские субтитры (google translate)
Рейтинг: 4,8 из 5
Общая продолжительность 4,5 час
Чему вы научитесь:
Описание:
- Посмотрите в действии на опасность XSS
- Узнайте, что такое XSS и как он работает
- Изучите 3 основных типа XSS: отраженный, сохраненный и основанный на DOM.
- Выполняйте XSS-атаки вручную и с помощью автоматизированных инструментов
- Легально и безопасно атакуйте приложения, чтобы практиковать то, что вы изучаете
- Сравнивайте уязвимый и безопасный код бок о бок, чтобы изучить лучшие практики
- Изучите эффективные средства защиты для защиты ваших приложений
- Изучите недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok.
Добро пожаловать на курс по межсайтовому скриптингу (XSS)! В этом курсе мы исследуем один из самых больших рисков, с которыми сегодня сталкиваются веб-приложения.
Я потратил месяцы на создание и сбор лучших ресурсов по XSS, чтобы поместить их в этот курс, чтобы вы могли изучать XSS весело, эффективно и практично.
Мы начинаем с объяснения концепций XSS и его трех основных типов: отраженного, хранимого и основанного на DOM. Затем мы анализируем недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok. После этого мы создаем безопасные и легальные лабораторные среды для выполнения всех трех типов атак как с ручным, так и с автоматическим подходом. Затем мы устанавливаем, настраиваем и используем мощную среду эксплуатации браузера под названием BeEF для доставки полезной нагрузки, которая перехватывает ничего не подозревающие браузеры и позволяет вам отправлять команды этим браузерам удаленно.
Оттуда вы можете запускать ряд различных атак из BeEF с помощью командных модулей (например: сканировать внутренние сети, деактивировать веб-сайты, взламывать маршрутизаторы и т. Д.).
Это важный шаг, потому что он демонстрирует, насколько мощной может быть простая полезная нагрузка XSS и почему так важно защищать свои приложения от этой серьезной угрозы.
После этого мы применяем все, что узнали, и тестируем OWASP Juice Shop, начиная со сбора информации, а затем используем все 3 типа XSS для выполнения задач различной сложности.
Наконец, мы завершаем курс обсуждением наиболее (и наименее эффективных) средств защиты, включая правила, чит-листы и рекомендуемые методы проверки кода для правильной защиты ваших приложений от этой опасной угрозы.
Если вы ищете практический способ изучения межсайтового скриптинга, это ваш курс!
- Что такое межсайтовый скриптинг (XSS) и как он работает
- 3 основных типа XSS: отраженный, постоянный и основанный на DOM.
- Недавние практические примеры XSS-уязвимостей в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok.
- Как бесплатно настроить лабораторную среду с виртуальной машиной Kali Linux
- Как легко настроить и создать безопасную и легальную лабораторную среду с использованием контейнеров внутри Kali
- Как начать работу с OWASP ZAP (бесплатная альтернатива Burp Suite)
- Методы XSS со шпаргалками и ссылками
- Как использовать созданные вручную полезные данные для обхода фильтров безопасности
- Как использовать автоматизированные инструменты для поиска успешных полезных нагрузок XSS (включая ZAP, XSStrike, XSSer)
- Как удаленно управлять браузерами с помощью BeEF
- Как собрать информацию о вашей цели, чтобы найти потенциальные уязвимости
- Как выполнять XSS-инъекции вручную с помощью созданных запросов с помощью прокси-инструмента (ZAP)
- Как использовать результаты успешных инъекций для использования целей (например, изменить пароль пользователя с помощью одного URL-адреса через CSRF)
- Эффективная (и неэффективная) защита от XSS
- Параллельное сравнение уязвимого и безопасного кода
- Шпаргалки для защиты ваших приложений
- Правила, которым необходимо следовать, чтобы предотвратить уязвимости XSS для всех 3 типов атак
- Как проверить код на наличие XSS-уязвимостей
- Рекомендуемые руководства по тестированию
Меня зовут Кристоф Лимпалэр, и я помог тысячам людей пройти ИТ-сертификаты, научиться использовать облако и разрабатывать безопасные приложения. Я начал заниматься ИТ в 11 лет и случайно попал в мир кибербезопасности. Перенесемся в сегодняшний день, и я стал соучредителем быстрорастущего сообщества по кибербезопасности Cybr, которое также предоставляет ресурсы для обучения.
Поскольку у меня возник сильный интерес к программированию и облачным вычислениям, в последние несколько лет я сосредоточил свое внимание на обучении тысяч людей из малого, среднего и крупного бизнеса (включая Fortune 500) тому, как использовать облачных провайдеров (таких как Amazon Web Services). ) эффективно и как разрабатывать более безопасные приложения.
Я читал сертификационные курсы, такие как AWS Certified Developer, AWS Certified SysOps Administrator и AWS Certified DevOps Professional, а также курсы без сертификации, такие как Introduction to Application Security (AppSec), SQL Injection Attacks, Introduction to OS Command Injection. , Lambda Deep Dive, стратегии резервного копирования и другие.
Работая с отдельными участниками, а также с менеджерами, я понял, что большинство из них также сталкивается с серьезными проблемами, когда дело касается кибербезопасности.
Копнув глубже, стало ясно, что специально для AppSec не хватает обучения. Как мы исследуем в этом курсе, XSS слишком распространен и может иметь разрушительные последствия для организаций, независимо от их размера.
Пришло время взять безопасность в свои руки и научиться создавать более безопасное программное обеспечение, чтобы сделать мир более безопасным! Присоединяйтесь ко мне на курсе, и мы это сделаем!
Для кого этот курс:
- Веб-разработчики
- Пентестеры
- Разработчики программного обеспечения
- Инженеры по безопасности приложений
- ИТ-менеджеры
- Риск-аналитики
- Аналитики по безопасности
- Студенты IT
Последнее редактирование модератором:
- Статус
- В этой теме нельзя размещать новые ответы.