• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Для начального и глубокого освоения XSS атак с чего начать?

01.03.2018
16
0
#1
Бодрый вечер, очень интересует тема xss уязвимостей, насколько я понял, для этого в изучении нужен в основном javascript или что то еще? Погуглив понял, что в основном все JS туторы созданы для фронт-енд(тот же UDEMY полон туторов для веба), может быть есть какая то особая прикладная область, что посоветуете гуру? Или может я вообще не в том направлении пошел.
Пока что вникаю в учебник Кантора по js, я в принципе и раньше пробовал его изучать, но потом забросил, сейчас снова хочу попытать сил.
 
01.03.2018
16
0
#3
начни с этого
Для просмотра контента необходимо: Войти или зарегистрироваться
Благодарю за подсказку, дошел с помощью гугла до третьего уровня, просто тупо копипастя код туда сюда, не понимая как он работает, т.е.
без базовых знаний это не дает знаний.
Вот например на скрине снизу в подсказке пишется, что в функции window.location можно что то изменить и тем самым поломать что то, откуда мне это взять из каких источников? Наверное все же стоит пройти какой то фронт-ендовый курс или есть OWASP, но информация там дается видимо уже для знающих JS.
Что скажете?


2018-05-05 10_18_03-XSS game_ Level 3.png
 

Dr.Lafa

Mod. Hardware
Gold Team
30.12.2016
440
833
#4
Благодарю за подсказку, дошел с помощью гугла до третьего уровня, просто тупо копипастя код туда сюда, не понимая как он работает, т.е.
без базовых знаний это не дает знаний.
Вот например на скрине снизу в подсказке пишется, что в функции window.location можно что то изменить и тем самым поломать что то, откуда мне это взять из каких источников? Наверное все же стоит пройти какой то фронт-ендовый курс или есть OWASP, но информация там дается видимо уже для знающих JS.
Что скажете?


Посмотреть вложение 18224
Не нужно тратить время на курсы по фронтенду, там вы вряд ли найдёте нужную информацию (если, конечно, не полный ноль. Но и в этом случае лучше почитать материалы по html и js). В интернете очень много информации именно о том, что такое XSS и о том, как и почему это работает.
 

G0p43R

Red Team
27.02.2018
114
96
#5
Вообще по хорошему , можно поиграть на
Для просмотра контента необходимо: Войти или зарегистрироваться
в Web-client. Там не так дают xss , как понимание , как взаимодействовать с клиентом. А так же можно посмотреть на
Для просмотра контента необходимо: Войти или зарегистрироваться
и WebGoat
 
Вверх Снизу