Tin mới nhất

Menu

Browsing "Older Posts"

Chia Sẻ Khóa Học Cross-Site Scripting (XSS) 2021 [Khóa 8594 A]

08 tháng 6 2021 / No Comments

Thực hành tìm hiểu cách thực hiện và bảo vệ chống lại một trong những cuộc tấn công web tàn khốc nhất: XSS.

Bạn sẽ học được gì:

  • ✓ Sự nguy hiểm của XSS.
  • ✓ Tìm hiểu XSS là gì và nó hoạt động như thế nào.
  • ✓ Tìm hiểu 3 loại XSS chính: Reflected, Stored, và DOM-based.
  • ✓ Thực hiện các cuộc tấn công XSS bằng tay và bằng các công cụ tự động.
  • ✓ Tấn công các ứng dụng một cách hợp pháp & an toàn để thực hành những gì bạn đang học.
  • ✓ So sánh vulnerable và safe code side-by-side để tìm hiểu các phương pháp hay nhất.
  • ✓ Tìm hiểu các biện pháp kiểm soát phòng thủ hiệu quả để bảo vệ các ứng dụng của bạn.
  • ✓ Tìm hiểu từ các nghiên cứu điển hình thực tế gần đây về các lỗ hổng XSS trên Facebook, Gmail, Twitter, Tesla, Airbnb và TikTok.

Trong khóa học này, bạn sẽ khám phá một trong những rủi ro lớn nhất mà các ứng dụng web phải đối mặt ngày nay.

Bạn sẽ bắt đầu bằng cách tìm hiểu các khái niệm về XSS và 3 loại chính của nó: Reflected, Stored, và DOM-based. Sau đó, bạn sẽ chia nhỏ các nghiên cứu điển hình trong thế giới thực gần đây về các lỗ hổng XSS từ Facebook, Gmail, Twitter, Tesla, Airbnb và TikTok. Sau đó, bạn tạo ra các môi trường phòng thí nghiệm an toàn và hợp pháp để thực hiện cả 3 loại tấn công bằng cả cách tiếp cận thủ công và tự động. Sau đó, bạn thiết lập, định cấu hình và sử dụng một Browser Exploitation Framework mạnh mẽ được gọi là BeEF để cung cấp các payload nối các trình duyệt không nghi ngờ và cho phép bạn gửi lệnh đến các trình duyệt đó từ xa.

Từ đó, bạn có thể khởi động một số cuộc tấn công khác nhau từ BeEF bằng các mô-đun lệnh (ví dụ: quét mạng nội bộ, deface website, xâm phạm bộ định tuyến, v.v.).

Đây là một bước quan trọng vì nó chứng tỏ mức độ mạnh mẽ của một XSS payload đơn giản và lý do tại sao điều quan trọng là bạn phải bảo vệ ứng dụng của mình khỏi mối đe dọa nghiêm trọng này.

Sau đó, bạn áp dụng tất cả những gì đã học và áp dụng OWASP Juice Shop bắt đầu bằng việc thu thập thông tin trước khi khai thác cả 3 loại XSS để hoàn thành các thử thách có độ khó khác nhau.

Cuối cùng, bạn kết thúc khóa học bằng cách tìm hiểu về các biện pháp kiểm soát phòng thủ hiệu quả nhất bao gồm các quy tắc, cheat sheet và các kỹ thuật xem xét mã được đề xuất để bảo vệ ứng dụng của bạn khỏi mối đe dọa nguy hiểm này.

Nếu bạn đang tìm kiếm một phương pháp thực hành để học Cross-Site Scripting, đây là khóa học dành cho bạn!

Xin lưu ý: Việc thực hiện các cuộc tấn công này trên các môi trường mà bạn không có quyền rõ ràng là bất hợp pháp và sẽ khiến bạn gặp rắc rối. Đó không phải là mục đích của khóa học này. Mục đích là để dạy bạn cách bảo mật các ứng dụng của chính bạn bằng cách cung cấp một môi trường học tập an toàn.

Các chủ đề bạn sẽ được đề cập:

  • ✓ 1 Cross-Site Scripting (XSS) là gì và nó hoạt động như thế nào.
  • ✓ 2 Các 3 loại chính của XSS : Reflected, Persistent, và DOM-based.
  • ✓ 3 Các nghiên cứu điển hình trong thế giới thực gần đây về các lỗ hổng XSS trong Facebook, Gmail, Twitter, Tesla, Airbnb và TikTok.
  • ✓ 4 Cách thiết lập môi trường phòng thí nghiệm với máy ảo Kali Linux miễn phí.
  • ✓ 5 Cách dễ dàng định cấu hình và tạo môi trường phòng thí nghiệm an toàn và hợp pháp bằng cách sử dụng các container bên trong Kali.
  • ✓ 6 Cách bắt đầu với OWASP ZAP (một giải pháp thay thế miễn phí cho Burp Suite).
  • ✓ 7 Các kỹ thuật XSS với cheatsheets và references.
  • ✓ 8 Cách sử dụng payload được tạo thủ công để tránh các bộ lọc bảo mật.
  • ✓ 9 Cách sử dụng các công cụ tự động để tìm XSS payload thành công (bao gồm ZAP, XSStrike, XSSer).
  • ✓ 10 Cách điều khiển trình duyệt từ xa với BeEF.
  • ✓ 11 Cách thu thập thông tin về mục tiêu của bạn để tìm ra các lỗ hổng tiềm ẩn.
  • ✓ 12 Cách thực hiện XSS injection bằng tay với các request được tạo thủ công bằng công cụ proxy (ZAP).
  • ✓ 13 Cách sử dụng kết quả từ các lần injection thành công để khai thác mục tiêu (nghĩa là: thay đổi mật khẩu của người dùng bằng một URL duy nhất qua CSRF).
  • ✓ 14 Effective và ineffective) defenses against XSS.
  • ✓ 15 So sánh Side-by-side giữa code dễ bị tổn thương và code an toàn.
  • ✓ 16 Cheatsheets để bảo vệ các ứng dụng của bạn.
  • ✓ 17 Các quy tắc cần tuân theo để ngăn chặn lỗ hổng XSS cho cả 3 loại tấn công.
  • ✓ 18 Cách review code cho các lỗ hổng XSS.
  • ✓ 19 Hướng dẫn thử nghiệm được đề xuất.


NHẬN GET EBOOK TRÊN AMAZON THEO YÊU CẦU

CUNG CẤP TÀI KHOẢN ONEDRIVE 5TB VÀ OFFICE 365 GIÁ RẺXEM CHI TIẾT TẠI ĐÂY 




Copyright Disclaimer:
This site does not store any files on its server. We only index and link to content provided by other sites. Please contact the content providers to delete copyright contents if any and email us, we'll remove relevant links or contents immediately.
Tuyên bố miễn trừ bản quyền:
Trang web này không lưu trữ bất kỳ tệp nào trên máy chủ của nó. Chúng tôi chỉ lập chỉ mục và liên kết đến nội dung được cung cấp bởi các trang web khác. Vui lòng liên hệ với các nhà cung cấp nội dung để xóa nội dung bản quyền nếu có và gửi email cho chúng tôi, chúng tôi sẽ xóa các liên kết hoặc nội dung có liên quan ngay lập tức.