说明
欢迎来到跨站点脚本(XSS)课程!在本课程中,我们将探讨当今Web应用程序面临的最大风险之一。
我花了几个月的时间来创建和收集有关XSS的最佳资源,以便将它们用于本课程,以便您可以以有趣,高效和实用的方式学习XSS。
我们首先介绍XSS及其3种主要类型的概念:反射,存储和基于DOM。然后,我们分解来自Facebook,Gmail,Twitter,Tesla,Airbnb和TikTok的XSS漏洞的最新实际案例研究。之后,我们创建安全合法的实验室环境,以手动和自动方式执行所有三种类型的攻击。然后,我们设置,配置并使用称为BeEF的强大浏览器开发框架来交付有效载荷,这些有效载荷会钩住毫无怀疑的浏览器,并让您远程向这些浏览器发送命令。
从那里,您可以使用命令模块从BeEF发起多种不同的攻击(即:扫描内部网络,破坏网站,破坏路由器等…)。
这是重要的一步,因为它展示了单个简单的XSS有效负载可以具有的功能强大,以及保护您的应用程序免受这种严重威胁的重要性至关重要。
之后,我们将利用我们学到的所有知识,并从信息收集开始对OWASP Juice Shop进行渗透测试,然后再利用所有三种类型的XSS来完成各种难度的挑战。
最后,我们通过讨论最有效的防御措施(包括规则,备忘单和推荐的代码检查技术)来完成本课程,以适当保护您的应用程序免受这种危险威胁的侵害。
如果您正在寻找动手学习跨站点脚本的方法,那么这就是您的课程!
请注意:在您没有明确权限的环境中执行这些攻击是非法的,这会给您带来麻烦。这不是本课程的目的。目的是教您如何通过提供安全的学习环境来保护自己的应用程序。
类型:在线学习| MP4 | 视频:h264,1280×720 | 音频:aac,48000 Hz
语言:英语| SRT | 大小:2.08 GB | 时长:4h 3m
您将学到的东西
在实践中看到XSS的危险了解XSS是什么以及它如何工作;
了解XSS的3种主要类型:反映的,存储的和基于DOM的;
手动和自动工具执行XSS攻击;
合法地攻击应用程序和安全地练习您正在学习的内容;
并排比较易受攻击的代码和安全的代码以了解最佳实践;
了解有效的防御控制以保护您的应用程序;
从Facebook,Gmail,Twitter,Tesla的XSS漏洞的最新实际案例研究中学习,Airbnb和TikTok
要求
具有JavaScript的
经验与Web应用程序一起工作的经验
渴望学习!
———————–
我们将一起讨论的主题:
什么是跨站点脚本(XSS)及其工作方式
XSS的3种主要类型:反映的,持久的和基于DOM的
Facebook,Gmail,Twitter,Tesla,Airbnb和TikTok中XSS漏洞的最新实际案例研究
如何使用Kali Linux虚拟机免费设置实验室环境
如何使用Kali内部的容器轻松配置和创建安全与合法的实验室环境
如何开始使用OWASP ZAP(Burp Suite的免费替代品)
XSS技术与备忘单和参考
如何使用手工制作的有效载荷逃避安全过滤器
如何使用自动化工具查找成功的XSS有效负载(包括ZAP,XSStrike,XSSer)
如何使用BeEF远程控制浏览器
如何收集有关目标的信息以发现潜在的漏洞
如何使用代理工具(ZAP)手动处理精心设计的请求进行XSS注入
如何使用成功注入的结果来利用目标(即:通过CSRF使用单个URL更改用户密码)
针对XSS的有效(无效)防御
易受攻击的代码与安全代码的并排比较
备忘单,以保护您的应用程序
遵循规则以防止针对所有3种攻击的XSS漏洞
如何查看XSS漏洞的代码
推荐的测试指南
———————–
讲师
我叫Christophe Limpalair,我已经帮助成千上万的人通过了IT认证,学习如何使用云以及开发安全的应用程序。我11岁就开始从事IT,无意间陷入了网络安全领域。快速发展到今天,我与他人共同建立了一个快速发展的网络安全社区Cybr,该社区还提供培训资源。
当我对编程和云计算产生浓厚兴趣时,过去几年的重点一直是培训数千名中小型和大型企业(包括财富500强)的人员如何使用云提供商(例如Amazon Web Services) ),以及如何开发更安全的应用程序。
我教过诸如AWS认证开发人员,AWS认证的SysOps管理员和AWS认证的DevOps专业人士之类的认证课程,以及非认证课程,例如应用程序安全性简介(AppSec),SQL注入攻击,OS命令注入简介。 ,Lambda深入研究,备份策略等。
通过与个人贡献者和管理者的合作,我意识到大多数人在网络安全方面也面临着严峻的挑战。
深入研究发现,显然缺乏针对AppSec的培训。正如我们在课程中探索的那样,XSS太普遍了,无论组织规模大小,它都可能给组织造成灾难性的影响。
现在是时候掌握安全性并学习如何构建更安全的软件,以帮助使世界变得更安全的时候了!加入我的课程,我们将做到这一点!
我欢迎您踏上学习XSS的旅程,并希望成为您的老师!
谁该课程是:
Web开发
Pentesters
软件开发
应用程序安全工程师
IT经理
风险分析师
证券分析师
IT学生
