Межсайтовый скриптинг (XSS) : руководство 2021 года [Udemy] [Christophe Limpalair/Cybr Training]

Топикстартер · 26 апр 2021

Складчина: Межсайтовый скриптинг (XSS) : руководство 2021 года [Udemy] [Christophe Limpalair/Cybr Training]
Последнее обновление: 01/2021
Язык: Английский + англ. субтитры + русские субтитры (google translate)
Рейтинг: 4,8 из 5
Общая продолжительность 4,5 час

Чему вы научитесь:

Посмотрите в действии на опасность XSS

Узнайте, что такое XSS и как он работает

Изучите 3 основных типа XSS: отраженный, сохраненный и основанный на DOM.

Выполняйте XSS-атаки вручную и с помощью автоматизированных инструментов

Легально и безопасно атакуйте приложения, чтобы практиковать то, что вы изучаете

Сравнивайте уязвимый и безопасный код бок о бок, чтобы изучить лучшие практики

Изучите эффективные средства защиты для защиты ваших приложений

Изучите недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok.

Описание:

Добро пожаловать на курс по межсайтовому скриптингу (XSS)! В этом курсе мы исследуем один из самых больших рисков, с которыми сегодня сталкиваются веб-приложения.
Я потратил месяцы на создание и сбор лучших ресурсов по XSS, чтобы поместить их в этот курс, чтобы вы могли изучать XSS весело, эффективно и практично.
Мы начинаем с объяснения концепций XSS и его трех основных типов: отраженного, хранимого и основанного на DOM. Затем мы анализируем недавние практические примеры уязвимостей XSS в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok. После этого мы создаем безопасные и легальные лабораторные среды для выполнения всех трех типов атак как с ручным, так и с автоматическим подходом. Затем мы устанавливаем, настраиваем и используем мощную среду эксплуатации браузера под названием BeEF для доставки полезной нагрузки, которая перехватывает ничего не подозревающие браузеры и позволяет вам отправлять команды этим браузерам удаленно.
Оттуда вы можете запускать ряд различных атак из BeEF с помощью командных модулей (например: сканировать внутренние сети, деактивировать веб-сайты, взламывать маршрутизаторы и т. Д.).
Это важный шаг, потому что он демонстрирует, насколько мощной может быть простая полезная нагрузка XSS и почему так важно защищать свои приложения от этой серьезной угрозы.
После этого мы применяем все, что узнали, и тестируем OWASP Juice Shop, начиная со сбора информации, а затем используем все 3 типа XSS для выполнения задач различной сложности.
Наконец, мы завершаем курс обсуждением наиболее (и наименее эффективных) средств защиты, включая правила, чит-листы и рекомендуемые методы проверки кода для правильной защиты ваших приложений от этой опасной угрозы.
Если вы ищете практический способ изучения межсайтового скриптинга, это ваш курс!

Что такое межсайтовый скриптинг (XSS) и как он работает

3 основных типа XSS: отраженный, постоянный и основанный на DOM.

Недавние практические примеры XSS-уязвимостей в Facebook, Gmail, Twitter, Tesla, Airbnb и TikTok.

Как бесплатно настроить лабораторную среду с виртуальной машиной Kali Linux

Как легко настроить и создать безопасную и легальную лабораторную среду с использованием контейнеров внутри Kali

Как начать работу с OWASP ZAP (бесплатная альтернатива Burp Suite)

Методы XSS со шпаргалками и ссылками

Как использовать созданные вручную полезные данные для обхода фильтров безопасности

Как использовать автоматизированные инструменты для поиска успешных полезных нагрузок XSS (включая ZAP, XSStrike, XSSer)

Как удаленно управлять браузерами с помощью BeEF

Как собрать информацию о вашей цели, чтобы найти потенциальные уязвимости

Как выполнять XSS-инъекции вручную с помощью созданных запросов с помощью прокси-инструмента (ZAP)

Как использовать результаты успешных инъекций для использования целей (например, изменить пароль пользователя с помощью одного URL-адреса через CSRF)

Эффективная (и неэффективная) защита от XSS

Параллельное сравнение уязвимого и безопасного кода

Шпаргалки для защиты ваших приложений

Правила, которым необходимо следовать, чтобы предотвратить уязвимости XSS для всех 3 типов атак

Как проверить код на наличие XSS-уязвимостей

Рекомендуемые руководства по тестированию

Меня зовут Кристоф Лимпалэр, и я помог тысячам людей пройти ИТ-сертификаты, научиться использовать облако и разрабатывать безопасные приложения. Я начал заниматься ИТ в 11 лет и случайно попал в мир кибербезопасности. Перенесемся в сегодняшний день, и я стал соучредителем быстрорастущего сообщества по кибербезопасности Cybr, которое также предоставляет ресурсы для обучения.
Поскольку у меня возник сильный интерес к программированию и облачным вычислениям, в последние несколько лет я сосредоточил свое внимание на обучении тысяч людей из малого, среднего и крупного бизнеса (включая Fortune 500) тому, как использовать облачных провайдеров (таких как Amazon Web Services). ) эффективно и как разрабатывать более безопасные приложения.
Я читал сертификационные курсы, такие как AWS Certified Developer, AWS Certified SysOps Administrator и AWS Certified DevOps Professional, а также курсы без сертификации, такие как Introduction to Application Security (AppSec), SQL Injection Attacks, Introduction to OS Command Injection. , Lambda Deep Dive, стратегии резервного копирования и другие.
Работая с отдельными участниками, а также с менеджерами, я понял, что большинство из них также сталкивается с серьезными проблемами, когда дело касается кибербезопасности.
Копнув глубже, стало ясно, что специально для AppSec не хватает обучения. Как мы исследуем в этом курсе, XSS слишком распространен и может иметь разрушительные последствия для организаций, независимо от их размера.
Пришло время взять безопасность в свои руки и научиться создавать более безопасное программное обеспечение, чтобы сделать мир более безопасным! Присоединяйтесь ко мне на курсе, и мы это сделаем!

Для кого этот курс:

Веб-разработчики

Пентестеры

Разработчики программного обеспечения

Инженеры по безопасности приложений

ИТ-менеджеры

Риск-аналитики

Аналитики по безопасности

Студенты IT

Скрытая ссылка