- Регистрация
- 26.05.2022
- Сообщения
- 26 731
- Реакции
- 160
- Баллы
- 63
Последнее обновление: 01/2021 Язык: Английский + англ. субтитры + русские субтитры (google translate) Рейтинг: 4,8 из 5 Общая продолжительность 4,5 час Чему вы научитесь: Посмотрите в действии на опасность XSS Узнайте, что такое XSS и как он работает Изучите 3 основных типа XSS: отраженный, сохраненный и основанный на DOM. Выполняйте XSS-атаки вручную и с помощью автоматизированных инструментов Легально и безопасно атакуйте приложения, чтобы практиковать то, что вы изучаете Сравнивайте уязвимый и безопасный код бок о бок, чтобы изучить лучшие практики Изучите эффективные средства защиты для защиты ваших приложений Изучите недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok. Описание: Добро пожаловать на курс по межсайтовому скриптингу (XSS)! В этом курсе мы исследуем один из самых больших рисков, с которыми сегодня сталкиваются веб-приложения. Я потратил месяцы на создание и сбор лучших ресурсов по XSS, чтобы поместить их в этот курс, чтобы вы могли изучать XSS весело, эффективно и практично. Мы начинаем с объяснения концепций XSS и его трех основных типов: отраженного, хранимого и основанного на DOM. Затем мы анализируем недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok. После этого мы создаем безопасные и легальные лабораторные среды для выполнения всех трех типов атак как с ручным, так и с автоматическим подходом. Затем мы устанавливаем, настраиваем и используем мощную среду эксплуатации браузера под названием BeEF для доставки полезной нагрузки, которая перехватывает ничего не подозревающие браузеры и позволяет вам отправлять команды этим браузерам удаленно. Оттуда вы можете запускать ряд различных атак из BeEF с помощью командных модулей (например: сканировать внутренние сети, деактивировать веб-сайты, взламывать маршрутизаторы и т. Д.). Это важный шаг, потому что он демонстрирует, насколько мощной может быть простая полезная нагрузка XSS и почему так важно защищать свои приложения от этой серьезной угрозы. После этого мы применяем все, что узнали, и тестируем OWASP Juice Shop, начиная со сбора информации, а затем используем все 3 типа XSS для выполнения задач различной сложности. Наконец, мы завершаем курс обсуждением наиболее (и наименее эффективных) средств защиты, включая правила, чит-листы и рекомендуемые методы проверки кода для правильной защиты ваших приложений от этой опасной угрозы. Если вы ищете практический способ изучения межсайтового скриптинга, это ваш курс! Темы, которые мы рассмотрим Что такое межсайтовый скриптинг (XSS) и как он работает 3 основных типа XSS: отраженный, постоянный и основанный на DOM. Недавние практические примеры XSS-уязвимостей в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok. Как бесплатно настроить лабораторную среду с виртуальной машиной Kali Linux Как легко настроить и создать безопасную и легальную лабораторную среду с использованием контейнеров внутри Kali Как начать работу с OWASP ZAP (бесплатная альтернатива Burp Suite) Методы XSS со шпаргалками и ссылками Как использовать созданные вручную полезные данные для обхода фильтров безопасности Как использовать автоматизированные инструменты для поиска успешных полезных нагрузок XSS (включая ZAP, XSStrike, XSSer) Как удаленно управлять браузерами с помощью BeEF Как собрать информацию о вашей цели, чтобы найти потенциальные уязвимости Как выполнять XSS-инъекции вручную с помощью созданных запросов с помощью прокси-инструмента (ZAP) Как использовать результаты успешных инъекций для использования целей (например, изменить пароль пользователя с помощью одного URL-адреса через CSRF) Эффективная (и неэффективная) защита от XSS Параллельное сравнение уязвимого и безопасного кода Шпаргалки для защиты ваших приложений Правила, которым необходимо следовать, чтобы предотвратить уязвимости XSS для всех 3 типов атак Как проверить код на наличие XSS-уязвимостей Рекомендуемые руководства по тестированию Инструктор Меня зовут Кристоф Лимпалэр, и я помог тысячам людей пройти ИТ-сертификаты, научиться использовать облако и разрабатывать безопасные приложения. Я начал заниматься ИТ в 11 лет и случайно попал в мир кибербезопасности. Перенесемся в сегодняшний день, и я стал соучредителем быстрорастущего сообщества по кибербезопасности Cybr, которое также предоставляет ресурсы для обучения. Поскольку у меня возник сильный интерес к программированию и облачным вычислениям, в последние несколько лет я сосредоточил свое внимание на обучении тысяч людей из малого, среднего и крупного бизнеса (включая Fortune 500) тому, как использовать облачных провайдеров (таких как Amazon Web Services). ) эффективно и как разрабатывать более безопасные приложения. Я читал сертификационные курсы, такие как AWS Certified Developer, AWS Certified SysOps Administrator и AWS Certified DevOps Professional, а также курсы без сертификации, такие как Introduction to Application Security (AppSec), SQL Injection Attacks, Introduction to OS Command Injection. , Lambda Deep Dive, стратегии резервного копирования и другие. Работая с отдельными участниками, а также с менеджерами, я понял, что большинство из них также сталкивается с серьезными проблемами, когда дело касается кибербезопасности. Копнув глубже, стало ясно, что специально для AppSec не хватает обучения. Как мы исследуем в этом курсе, XSS слишком распространен и может иметь разрушительные последствия для организаций, независимо от их размера. Пришло время взять безопасность в свои руки и научиться создавать более безопасное программное обеспечение, чтобы сделать мир более безопасным! Присоединяйтесь ко мне на курсе, и мы это сделаем! Для кого этот курс: Веб-разработчики Пентестеры Разработчики программного обеспечения Инженеры по безопасности приложений ИТ-менеджеры Риск-аналитики Аналитики по безопасности Студенты IT Продажник www.udemy.com/course/cross-site-scripting-xss-the-guide/ |
