【FreeBuf字幕组】Hacker101白帽黑客进阶之路-跨站脚本漏洞(XSS)
source link: https://www.freebuf.com/video/220106.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
内容介绍
本课程是HackerOne出品的Web安全免费在线课程( Hacker101 ),以“LEARN HOW TO HACK”为主旨,包含了相关的视频、资源和动手实验,目的在于教授Hacking思维和知识,入门Bug Bounty Hunter(漏洞赏金猎人)。课程内容涵盖了XSS、SQL、会话劫持、文件包含等当前流行漏洞的分析,另外还涉及漏洞报告、加密解密、BurpSuite使用和移动端APP测试分析等版块。总体来说,Hacker101是安全初学者入门提高的理想选择,无论你是对漏洞众测(Bug Bounty)感兴趣的程序员,还是经验丰富的安全专家,都会在Hacker101课程中有所收获。
本节课程,我们先来了解非常普遍的跨站脚本漏洞(XSS),通过对不同类型XSS的分析,明白其基本的触发原理、利用方式和缓解防护措施。最后,我们还会聊聊授权不当的强制浏览和越权漏洞。由于课程画面给出的文字较多,在观看字幕的同时,希望大家也能认真阅读画面文字,慢慢细细体会。
另外需要注意的是,课程提及Hacker101早前的CTF第一关题目(Level 1)早已更新,无法从官网访问,大家可以通过 https://delikely.github.io/2018/04/14/Hacker101-writeup/#level-1 来查看具体的解题思路,其中存在的Stored XSS需要变化不同符号判断服务端过滤机制,以此构造利用;另外其存在的CSRF漏洞中,后台只对csrf token的长度进行了校检;强制浏览漏洞(Forced Browsing)可通过更改发贴id查看其他用户的发贴内容信息。
观看视频
*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!
*本文视频编辑willhuang,由clouds 编译 , FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK