Cross-Site Scripting (XSS)

Popis kurzu

Cross-Site scripting je jednou z nejrozšířenějších zranitelností webových aplikací. Podle průzkumů se s ní můžeme setkat až na 70% webových aplikací.

Úspěšný útok může mít na uživatele stejný efekt, jako kdyby ke svému webovému prohlížeči posadil samotného útočníka. Ten totiž skrz XSS zranitelnost může dostat uživatelův prohlížeč plně pod kontrolu a pod identitou uživatele může procházet webové stránky a provádět na nich nejrůznější akce, které by se uživateli s největší pravděpodobností nelíbily.

Jste si jistí, že Vaše aplikace neohrožuje tímto způsobem její uživatele nebo Vaše klienty? Zranitelná místa se v aplikaci mohou vyskytovat i tam, kde byste je nečekali. Zúčastněte se tohoto kurzu, abyste o Cross-Site Scriptingu získali lepší představu a mohli proti němu lépe zabezpečit své aplikace. Nevystavujte Vaše klienty zbytečnému riziku.

Komu je kurz určen

Kurz je určen všem vývojářům webových aplikací a penetračním testerům, kteří by si rádi rozšířili povědomí o tomto velice rozšířeném typu webové zranitelnosti.

Požadavky na studenty

Pro účast na tomto kurzu je očekávána alespoň základní znalost HTTP komunikace. Účastníci by měli vědět, jak s daty zachází webový browser a jak jsou předávané hodnoty zpracovávány na webovém serveru. Účastníci by rovněž měli být schopni zachytávat a upravovat data na lokálním proxy a měli by být seznámeni s tím, jak webový server autentizuje jednotlivé uživatele. Výhodou je předešlá znalost útoků typu Cross-Site Request Forgery a Clickjacking, na kterou tímto kurzem plynule navážeme.

Před přihlášením na tento kurz doporučujeme osvěžení znalostí na seminářích:

Co se naučíte

Na mnoha praktických příkladech a cvičeních si vyzkoušíte, jak snadná často bývá injektáž útočných skriptů do prohlížeče uživatelů skrz slabě zabezpečené webové aplikace. Vedle často zneužívaných zranitelných míst si ukážeme také méně známé vektory útoků a zkusíme si vytvořit i nějaký ten sofistikovanější útočný skript.

Mezi vektory injektáže, se kterými se seznámíte budou patřit například:

  • Přímé výstupy kódu
  • Bypass HTML tagů
  • Ovladače událostí a bypass atributů prvků
  • Bookmarklety
  • Redirekty
  • HTML Response Splitting
  • Flashové bannery

Zmíněna budou také témata:

  • Cross-Site Messaging
  • Content Spoofing

V praxi si vyzkoušíte práci se zřejmě nejpropracovanějším nástrojem pro exploitaci XSS zranitelností, kterým je BeEF.

Součástí kurzu je samozřejmě také představení různých typů ochran, mezi kterými nebude chybět ani část věnovaná bezpečnostní politice Content Security Policy.

 Délka kurzu

 4 hodiny

 Lektor

Roman Kümmel  Roman Kümmel

Vypsané termíny on-line seminářů

 
                 
                   
 

user Přihlášení

Zavřít

Na základě dohody s počítačovou školou GOPAS je nadále možné absolvovat naše kurzy pouze jejím prostřednictvím.

Pro aktuální nabídku kurzů navštivte, prosím, webové stránky WWW.GOPAS.CZ