携洪荒之力教你XSS渗透测试与防御
目前web应用日趋复杂,安全问题相继暴露出来。
XSS漏洞是最广泛、作用最关键的web安全漏洞之一。在绝大多数网络攻击中都是把XSS作为漏洞链中的第一环,通过XSS,黑客可以得到的最直接利益就是拿到用户浏览器的cookie,从而变相盗取用户的账号密码。
一些XSS的传播性极强,由于web的特点是轻量级、灵活性高,每个用户每天都可能访问很多web站点,每个web站点每天都有成千上万的来访;另一方面,如果将XSS攻击配合起一些系统内核级的漏洞,完全可能在几个小时之内击垮几百万台智能设备。所以,掌握XSS渗透测试及防御,是web安全工程师必备技能。
关于XSS
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
如今的web前端开发者都应该清楚,在现代浏览器的同源策略保护下,浏览器的跨域行为受到了限制,并且从XSS漏洞攻击原理上讲,跨站这两个字其实没有什么必要。
XSS的学习关键在于实践!
安全问题,没有实战积累谈再多的理论都没有意义。
这是《xss渗透测试与防御》讲师hope给web安全初学者的建议。本节课程,也是结合hope多年的经验及个人心得,从实战角度讲解xss渗透测试与防御的相关知识。
hope SSS安全团队核心成员。 在渗透测试和漏洞挖掘方面有比较丰富的经验,对漏洞的分析及防御方法有比较深入的研究,曾在多个src平台提交过漏洞。
《xss渗透测试与防御》
课程简介
本课程针对XSS漏洞的原理进行剖析,通过一些案例进行讲解使学生更容易掌握,最后则介绍了如何防御XSS攻击。
课程目标
理解XSS漏洞,可以对XSS漏洞进行渗透测试,并知道如何防御XSS漏洞。
适宜人群
对web安全零基础的人;
有志从事安全行业却没办法入门的人;
通过了解XSS攻击手法并进行防御的开发人员 。
e安独家课程web安全工程师必学
课程链接:
http://www.51ean.com/ol/module/studyunitrecord/findGoodsCourseInfo.do?courseId=
8aae32985626c9e901566d27a0970ba8&goodsId=491&securityType=
