Chia Sẻ Khóa Học Cross-Site Scripting (XSS) - Hướng Dẫn Thực Tế [Khóa 5875 A]
.png)
Trong khóa học này, bạn sẽ được phát triển các kỹ năng cần thiết để thực hiện và chống lại thành công các cuộc tấn công Cross-Site Scripting (XSS). XSS là một trong 10 loại tấn công ứng dụng web nguy hiểm và phổ biến nhất theo cả OWASP và CWE. Tôi đã dành nhiều tháng để tạo và thu thập các tài nguyên tốt nhất về XSS và đưa chúng vào khóa học này để bạn có thể học Cross-Site Scripting một cách thú vị, hiệu quả và thực tế.
Để thực sự hiểu cách thức hoạt động của XSS và cách phòng thủ, bạn phải thực hành bằng cách thực hiện các cuộc tấn công vào các vulnerable application và sau đó xem xét các phiên bản an toàn của cùng một code, và đó chính xác là những gì bạn sẽ làm trong khóa học này.
Chúng tôi bắt đầu bằng cách giải thích các khái niệm về XSS và 3 loại chính của nó: Reflected, Stored (Persistent) và DOM-based. Sau đó, chúng tôi xem xét các case study về các lỗ hổng XSS thực tế gần đây trên Facebook, Gmail, Twitter, Tesla, Airbnb và TikTok.
Tiếp theo, chúng tôi thiết lập một môi trường lab để thực hiện cả 3 loại tấn công bằng cả phương pháp thủ công và tự động. Sau đó, chúng tôi thiết lập, cấu hình và sử dụng một browser exploitation framework mạnh mẽ có tên là BeEF để cung cấp một payload có thể đánh lừa các unsuspecting browser. Từ đó, bạn có thể khởi chạy một số cuộc tấn công khác nhau bằng các BeEF command module (ví dụ: scanning internal networks, defacing websites, compromising routers, v.v.).
Tiếp theo, chúng ta áp dụng tất cả những gì đã học để pentest OWASP Juice Shop, bắt đầu bằng việc thu thập thông tin và sau đó khai thác cả 3 loại XSS. Cuối cùng, chúng ta kết thúc khóa học bằng cách thảo luận về các biện pháp phòng thủ hiệu quả nhất (và kém hiệu quả nhất), bao gồm các quy tắc, cheat sheet và các kỹ thuật recommended code review để bảo vệ ứng dụng của bạn khỏi mối đe dọa nguy hiểm này.
Nếu bạn đang tìm kiếm một phương pháp thực hành để học Cross-Site Scripting, thì đây chính là khóa học dành cho bạn!
Các chủ đề được đề cập:
- ✓ Tìm hiểu Cross-Site Scripting (XSS) là gì và cách thức hoạt động của nó.
- ✓ Tìm hiểu 3 loại tấn công XSS chính.
- ✓ Nghiên cứu các trường hợp thực tế gần đây về các lỗ hổng XSS trên Facebook, Gmail, Twitter, Tesla, Airbnb và TikTok.
- ✓ Học thực hành bằng cách thực hiện các cuộc tấn công vào các môi trường lab.
- ✓ Học cách sử dụng OWASP ZAP làm proxy của bạn (Burp cũng có thể được sử dụng thay thế).
- ✓ Tìm hiểu về filter và defense evasion bằng cách xem xét nhiều case study và tạo các payload.
- ✓ Tìm hiểu cách sử dụng browser exploitation framework mạnh mẽ có tên là BeEF để kết nối các trình duyệt và khởi chạy lệnh từ xa.
- ✓ Tìm hiểu các biện pháp kiểm soát và quy tắc phòng thủ để chống lại 3 loại XSS chính.
Điều kiện tiên quyết được đề xuất:
- ✓ Kinh nghiệm làm việc với các ứng dụng web.
- ✓ Kinh nghiệm làm việc với JavaScript.
Mục lục:
- ✓ 01. Bắt đầu.
- ✓ 02. Cross-Site Scripting (XSS) là gì?
- ✓ 03. Tạo môi trường Lab của bạn.
- ✓ 04. Reflected XSS.
- ✓ 05. Stored (Persistent) XSS.
- ✓ 06. DOM-based XSS.
- ✓ 07. postMessage XSS.
- ✓ 08. Blind XSS.
- ✓ 09. Sử dụng BeEF.
- ✓ 10. Attacking một web application (OWASP Juice Shop).
- ✓ 11. Defending Against XSS.
- ✓ 12. Kết luận và các tài nguyên bổ sung.
NHẬN GET EBOOK TRÊN AMAZON THEO YÊU CẦU