کانال تلگرام پشتیبانی تلگرام شماره تماس پشتیبانی: 0930 395 3766
ورود ثبت نام

آموزش اسکریپت بین سایتی (XSS): راهنمای عملی

Cross-Site Scripting (XSS): The Practical Guide

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
توضیحات دوره: آموزش عملی نحوه انجام و دفاع در برابر یکی از مخرب ترین حملات وب: XSS خطرات XSS را در عمل ببینید بیاموزید XSS چیست و چگونه کار می کند آموزش 3 نوع اصلی XSS: Reflected، ذخیره شده و DOM مبتنی بر انجام حملات XSS با دست و با ابزارهای خودکار حمله قانونی و ایمن به برنامه‌ها برای تمرین آنچه در حال یادگیری هستید، کدهای آسیب‌پذیر و ایمن را در کنار یکدیگر مقایسه کنید تا بهترین شیوه‌ها را یاد بگیرید کنترل‌های دفاعی مؤثر برای محافظت از برنامه‌های خود را بیاموزید از واقعی‌های اخیر بیاموزید- مطالعات موردی جهانی آسیب‌پذیری‌های XSS در فیس‌بوک، جی‌میل، توییتر، تسلا، Airbnb و TikTok پیش نیازها: تجربه با جاوا اسکریپت و توسعه فرانت‌اند تجربه کار با برنامه‌های کاربردی وب تمایل به یادگیری! مسلط به زبان انگلیسی

درباره دوره:

به این دوره در مورد اسکریپت بین سایتی (XSS) خوش آمدید! در این دوره، یکی از بزرگترین خطراتی که امروزه برنامه های کاربردی وب با آن مواجه هستند را بررسی می کنیم.

من ماه‌ها صرف ایجاد و جمع‌آوری بهترین منابع در XSS کرده‌ام تا آنها را در این دوره قرار دهم تا بتوانید XSS را به شیوه‌ای سرگرم‌کننده، کارآمد و عملی یاد بگیرید.

ما با توضیح مفاهیم XSS و 3 نوع اصلی آن: Reflected، Stored و DOM-based شروع می کنیم. سپس، مطالعات موردی اخیر در دنیای واقعی آسیب‌پذیری‌های XSS را از فیس‌بوک، جی‌میل، توییتر، تسلا، Airbnb و TikTok تجزیه می‌کنیم. پس از آن، محیط‌های آزمایشگاهی امن و قانونی را برای انجام هر 3 نوع حمله با رویکردهای دستی و خودکار ایجاد می‌کنیم. سپس یک چارچوب بهره‌برداری قدرتمند مرورگر به نام BeEF را راه‌اندازی، پیکربندی و استفاده می‌کنیم تا محموله‌هایی را ارائه کنیم که مرورگرهای نامشخص را قلاب می‌کنند و به شما امکان می‌دهند دستورات را از راه دور به آن مرورگرها ارسال کنید.

از آنجا، می‌توانید تعدادی حملات مختلف از BeEF با ماژول‌های فرمان (به عنوان مثال: شبکه‌های داخلی اسکن، وب‌سایت‌ها، روترهای در معرض خطر، و غیره...) را اجرا کنید.

این یک گام مهم است زیرا نشان می‌دهد که یک بار ساده و ساده XSS چقدر می‌تواند قدرتمند باشد و چرا مهم است که از برنامه‌های خود در برابر این تهدید جدی دفاع کنید.

پس از آن، همه چیزهایی را که یاد گرفته‌ایم به کار می‌گیریم و در OWASP Juice Shop با جمع‌آوری اطلاعات شروع می‌کنیم و قبل از بهره‌برداری از هر 3 نوع XSS برای تکمیل چالش‌های با دشواری‌های مختلف شروع می‌کنیم.

در نهایت، ما دوره را با بحث در مورد مؤثرترین (و کمترین) کنترل‌های دفاعی از جمله قوانین، برگه‌های تقلب و تکنیک‌های بررسی کد توصیه شده برای دفاع صحیح از برنامه‌های کاربردی خود در برابر این تهدید خطرناک، به پایان می‌رسانیم.

اگر به دنبال روشی عملی برای یادگیری اسکریپت بین سایتی هستید، این دوره شماست!


لطفاً توجه داشته باشید: انجام این حملات در محیط‌هایی که مجوز صریح آن را ندارید غیرقانونی است و شما را به دردسر می‌اندازد. هدف این دوره این نیست. هدف این است که به شما بیاموزد چگونه برنامه های خود را با ارائه یک محیط یادگیری ایمن ایمن کنید.

-----------------------

موضوعاتی که با هم پوشش خواهیم داد:

  1. Scripting Cross-Site (XSS) چیست و چگونه کار می کند

  2. 3 نوع اصلی XSS: بازتابی، پایدار و مبتنی بر DOM

  3. مطالعات موردی اخیر در دنیای واقعی آسیب‌پذیری‌های XSS در Facebook، Gmail، Twitter، Tesla، Airbnb و TikTok

  4. نحوه راه اندازی یک محیط آزمایشگاهی با ماشین مجازی لینوکس Kali به صورت رایگان

  5. نحوه پیکربندی و ایجاد محیط های آزمایشگاهی قانونی ایمن با استفاده از کانتینرهای داخل Kali

  6. چگونه با OWASP ZAP (یک جایگزین رایگان برای Burp Suite) شروع کنید

  7. تکنیک های XSS با چیت شیت ها و مراجع

  8. نحوه استفاده از بارهای دستی برای فرار از فیلترهای امنیتی

  9. نحوه استفاده از ابزارهای خودکار برای یافتن بارهای موفق XSS (از جمله ZAP، XSStrike، XSSer)

  10. نحوه کنترل از راه دور مرورگرها با BeEF

  11. نحوه جمع‌آوری اطلاعات درباره هدف خود به منظور یافتن آسیب‌پذیری‌های احتمالی

  12. نحوه انجام تزریق XSS با دست با درخواست های دستکاری شده با استفاده از ابزار پروکسی (ZAP)

  13. نحوه استفاده از نتایج حاصل از تزریق موفقیت آمیز برای سوء استفاده از اهداف (به عنوان مثال: تغییر رمز عبور کاربر با یک URL واحد از طریق CSRF)

  14. دفاع موثر (و غیرموثر) در برابر XSS

  15. مقایسه کنار هم کدهای آسیب‌پذیر و امن

  16. Cheatsheets برای محافظت از برنامه های شما

  17. قوانینی که باید برای جلوگیری از آسیب پذیری XSS برای هر 3 نوع حمله رعایت شود

  18. نحوه بازبینی کد برای آسیب‌پذیری‌های XSS

  19. راهنماهای آزمایشی توصیه شده

-----------------------

مربی

اسم من کریستوف لیمپالیر است و به هزاران نفر کمک کرده ام تا گواهینامه های فناوری اطلاعات را دریافت کنند، نحوه استفاده از ابر را بیاموزند و برنامه های کاربردی ایمن را توسعه دهند. من در 11 سالگی در IT شروع کردم و ناخواسته وارد دنیای امنیت سایبری شدم. به سرعت تا امروز، و من یک انجمن امنیت سایبری در حال رشد به نام Cybr را پایه گذاری کرده ام که منابع آموزشی نیز ارائه می دهد.

از آنجایی که علاقه شدیدی به برنامه نویسی و رایانش ابری پیدا کردم، تمرکز من در چند سال گذشته آموزش هزاران نفر در مشاغل کوچک، متوسط ​​و بزرگ (از جمله Fortune 500) در مورد نحوه استفاده از ارائه دهندگان ابری (مانند خدمات وب آمازون) کارآمد، و نحوه توسعه برنامه های کاربردی امن تر.

من دوره‌های صدور گواهینامه مانند برنامه‌نویس معتبر AWS، مدیر SysOps دارای گواهی AWS، و حرفه‌ای DevOps دارای گواهی AWS، و همچنین دوره‌های بدون گواهینامه مانند مقدمه‌ای بر امنیت برنامه (AppSec)، حملات تزریق SQL، مقدمه تدریس کرده‌ام. OS Command Injections، Lambda Deep Dive، Backup Strategies، و موارد دیگر.

هنگام کار با مشارکت کنندگان فردی و همچنین مدیران، متوجه شدم که بیشتر آنها در مورد امنیت سایبری نیز با چالش های جدی روبرو هستند.

با حفاری عمیق‌تر، مشخص شد که آموزش خاصی برای AppSec وجود ندارد. همانطور که در این دوره بررسی می کنیم، XSS بسیار رایج است و می تواند برای سازمان ها، صرف نظر از اندازه آنها، مخرب باشد.

وقت آن است که امنیت را در دستان خود بگیریم و یاد بگیریم که چگونه نرم‌افزار امن‌تری بسازیم تا بتوانیم جهان را به مکانی امن‌تر تبدیل کنیم! در این دوره به من بپیوندید، و ما این کار را انجام خواهیم داد!


من به شما در سفر برای یادگیری بیشتر در مورد XSS خوش آمد می گویم و مشتاقانه منتظر هستم که مربی شما باشم!

سرفصل ها و درس ها

شروع شدن Getting started

  • در مورد دوره About the course

  • درباره نویسنده About the author

اسکریپت بین سایتی (XSS) چیست؟ What is Cross-Site Scripting (XSS)?

  • مفاهیم XSS XSS concepts

  • انواع XSS XSS types

  • مطالعات موردی Case studies

ایجاد محیط آزمایشگاهی ما Creating our lab environment

  • ایجاد محیط آزمایشگاهی ما Creating our lab environment

XSS منعکس شده است Reflected XSS

  • حملات دستی Manual attacks

  • حملات خودکار Automated attacks

ذخیره شده (دائم) XSS Stored (Persistent) XSS

  • حملات دستی Manual attacks

  • حملات خودکار Automated attacks

  • مطالعه موردی: XSS ذخیره شده در ویژگی alt تصویر (باگ بونتی) Case study: Stored XSS in image alt attribute (bug bounty)

XSS مبتنی بر DOM DOM-based XSS

  • حملات دستی Manual attacks

  • حملات خودکار Automated attacks

postMessage XSS postMessage XSS

  • postMessage توضیح داد postMessage explained

  • postMessage XSS postMessage XSS

  • آزمایشگاه آزمایشی postMessage XSS postMessage XSS demo lab

  • جلوگیری از postMessage XSS postMessage XSS prevention

کور XSS Blind XSS

  • XSS کور چیست؟ What is blind XSS?

  • شکارچی XSS XSS Hunter

استفاده از BeEF Using BeEF

  • تنظیم BeEF BeEF Setup

  • پیشگامی BeEF BeEF walkthrough

  • قلاب BeEF BeEF hook

  • بهره برداری هدف BeEF BeEF target exploitation

حمله به یک برنامه وب (OWASP Juice Shop) Attacking a web application (OWASP Juice Shop)

  • جمع آوری اطلاعات Information gathering

  • حملات XSS مبتنی بر DOM DOM-based XSS attacks

  • بازتاب حملات XSS Reflected XSS attacks

  • حملات XSS ادامه یافت Persisted XSS attacks

دفاع در برابر XSS Defending against XSS

  • جلوگیری از XSS Preventing XSS

  • نمونه کدهای آسیب پذیر و ایمن Vulnerable and safe code examples

  • قوانین پیشگیری از XSS منعکس و ذخیره شده است Reflected and Stored XSS Prevention Rules

  • قوانین پیشگیری DOM XSS DOM XSS Prevention Rules

  • مشکلات رایج در کاهش XSS مبتنی بر DOM Common problems with mitigating DOM-based XSS

  • قوانین پاداش Bonus rules

  • نحوه بررسی کد برای آسیب پذیری های XSS How to review code for XSS vulnerabilities

  • راهنمای تست OWASP OWASP testing guide

نتیجه گیری و منابع اضافی Conclusion and additional resources

  • منابع اضافی Additional resources

  • حالا چی؟ What now?

آموزش droidcon NYC '19: SwiftUI با چند پلتفرم Kotlin ملاقات می کند!

آموزش droidcon NYC '19: SwiftUI با چند پلتفرم Kotlin ملاقات می کند!

droidcon NYC '19: SwiftUI Meets Kotlin Multiplatform!

آموزش از طرح تا مدل: طراحی برای چاپ سه بعدی با بلندر

آموزش از طرح تا مدل: طراحی برای چاپ سه بعدی با بلندر

From Sketch to Model: Designing for 3D Printing with Blender

آموزش مقدمه ای بر امنیت ابری با Microsoft Azure [ویدئو]

آموزش مقدمه ای بر امنیت ابری با Microsoft Azure [ویدئو]

Introduction to Cloud Security with Microsoft Azure [Video]

نمایش نظرات

Udemy (یودمی)

یودمی یکی از بزرگ‌ترین پلتفرم‌های آموزشی آنلاین است که به میلیون‌ها کاربر در سراسر جهان امکان دسترسی به دوره‌های متنوع و کاربردی را فراهم می‌کند. این پلتفرم امکان آموزش در زمینه‌های مختلف از فناوری اطلاعات و برنامه‌نویسی گرفته تا زبان‌های خارجی، مدیریت، و هنر را به کاربران ارائه می‌دهد. با استفاده از یودمی، کاربران می‌توانند به صورت انعطاف‌پذیر و بهینه، مهارت‌های جدیدی را یاد بگیرند و خود را برای بازار کار آماده کنند.

یکی از ویژگی‌های برجسته یودمی، کیفیت بالای دوره‌ها و حضور استادان مجرب و با تجربه در هر حوزه است. این امر به کاربران اعتماد می‌دهد که در حال دریافت آموزش از منابع قابل اعتماد و معتبر هستند و می‌توانند به بهترین شکل ممکن از آموزش‌ها بهره ببرند. به طور خلاصه، یودمی به عنوان یکی از معتبرترین و موثرترین پلتفرم‌های آموزشی آنلاین، به افراد امکان می‌دهد تا به راحتی و با کیفیت، مهارت‌های مورد نیاز خود را ارتقا دهند و به دنبال رشد و پیشرفت شغلی خود باشند.

آموزش اسکریپت بین سایتی (XSS): راهنمای عملی
جزییات دوره
4.5 hours
37
Udemy (یودمی) Udemy (یودمی)
(آخرین آپدیت)
2,400
- از 5
دارد
دارد
دارد

https://donyad.com/d/08d077

جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

Google Chrome Browser

Internet Download Manager

Pot Player

Winrar

Christophe Limpalair Christophe Limpalair

یکی از بنیانگذاران Cybr و توسعه دهنده در قلب

Cybr Training Cybr Training

ما اینجا هستیم تا به شما کمک کنیم حرفه امنیت سایبری خود را بسازید

دنیاد