1. 课程简介
XSS(Cross Site Scripting)跨站脚本攻击是基于客户端的Web攻击,跟SQL注入攻击一样稳居OWASP前三,危害极大。攻击者构造脚本(一般是Javascript)到Web页面,受害者通过点击链接即被攻击,一旦被攻击,则可能遭受会话劫持、信息窃取、网站钓鱼等。
XSS攻击点一般出现在网页中的评论框、留言板、搜索框等"用户输入"的地方,形成原因主要是Web服务端没有对脚本文件进行安全过滤。根据形成原理和攻击方式,XSS可以分为3类,即反射型XSS、存储型XSS、DOM型XSS。
说明:
本课程归属陈鑫杰老师的《100天晋升Web白帽子黑客系列课》(Web安全工程师职业方向),包括《Web安全导论》、《Web建站指南》、《HTTP协议原理与实践》、《HTML原理与实践》、《CSS原理与实践》、《JavaScript原理与实践》、《Python编程原理与实践》、《Django Web基础入门》、 《Django Web项目实战》、《Kali Linux / Metasploit渗透测试从入门到精通》、《Web安全渗透课》等近20门课程,是国内第一套基于思维导图方式授课的全栈Web安全课。
大部分新人在学习安全技术的时候,往往止步于“工具使用”,而忽略了底层原理,更没有代码编程能力,使得后续职场发展受到很大阻碍,而本系列课程涵盖Web入门、Web前端开发、Web后端开发、Web安全渗透等,使得学员能够真正掌握Web前后端原理,能独立开发一个Web网站,并在代码级别上理解Web安全漏洞,真正意义上做到 [从原理到实战]。
课程中的每一张技术图解、每一行代码、每一个项目案例,都由院长亲自操刀、精心设计并耐心讲解,抛弃传统PPT翻书式授课,用更体系更科学的姿势带你学好这门课程。本系列课程已经成为很多一线安全工程师的首选课程,也成为众多500强名企的采购课程,学完本系列课程的学员,大部分就职于国内一线的互联网名企、网络安全企业、国企政企、系统集成商/服务商等单位。
实战案例:
知乎爆文,超100w人阅读12k点赞党媒转载=>
2. 导师介绍
- 陈鑫杰 拼客科技CEO / 拼客学院院长
- 多年一线互联网 / 金融 / 政府信息安全技术支撑
- 擅长网络安全 / Web安全 / 渗透测试 / 数字取证
- 51CTO金牌讲师 / 300万+学员 / 安全类Top1
- 腾讯安全合作伙伴 / 共同打击灰黑产非法犯罪
- 网警技术顾问 / 多次协助抓获大型诈骗团伙
- 知乎专栏作家 / 跟杰哥学网络与安全
3. 课程目标
- 掌握XSS原理、反射型+存储型XSS、常见XSS攻击脚本构造解读(弹框、cookie窃取、重定向、加密编码)、不同安全级别的XSS绕过与漏洞利用、BeEF浏览器渗透框架实战、点击劫持、持久化控制、谷歌/Facebook账号钓鱼、虚假插件更新…
4. 课程对象
- 白帽子黑客、网络安全、信息安全、Web安全、渗透测试、安全运维、安全攻防
5. 课程特色
- 网络安全专家导师授课
- 采用思维导图方式授课
- 课件超详细 | 知识点丰富 | 实战驱动
6. 课程内容
- XSS跨站脚本攻击原理-分类-危害
- 反射型XSS-低安全级别-弹框-重定向-cookie获取及利用(tamper+burp)
- 反射型XSS-中安全级别-大小写-混淆写法绕过
- 反射型XSS-高安全级别-安全转义解读
- 存储型XSS-低安全级别-弹框告警-Cookie获取
- 存储型XSS-中高级别分析及cookie获取
- 自动化攻击-BeEF入门简介
- 自动化攻击-BeEF基础使用(初始启动-脚本解读-服务管理)
- 自动化攻击-BeEF信息收集(浏览器重定向-链接修改-弹框对话-主机-网络信息)
- 自动化攻击-BeEF持久化控制-与Metasploit结合实现渗透测试
- 自动化攻击-BeEF社会工程学攻击(点击劫持-谷歌Facebook网页钓鱼-虚假更新)
7. 课程预览
8. 了解更多
- 微信公众号:拼客学院服务号(搜索pinginglab)
- 技术交流群1:添加班主任微信 qiuzhiquanquan 或 qqls000,加入微信群
- 技术交流群2:添加班主任QQ 1724698994 或 1752856301,加入QQ群(240920680)
9. 注意事项
