XSS в тестировании: песочница для поиска уязвимостей
ฝัง
- เผยแพร่เมื่อ 30 ก.ย. 2024
- Что такое XSS? • Что такое XSS уязвимос...
Сайт-песочница: playground.lea...
Курс "Тестирование безопасности": www.learnqa.ru...
Даже далекие от тестирования безопасности тестировщики иногда сталкиваются с необходимостью проверить сайт на уязвимость к атакам типа Cross-Site Scripting, или XSS. Во время такой атаки на атакуемом сайте воспроизводится скрипт, который передает важные данные злоумышленнику или изменяет какие-то параметры на сайте. Теоретические основы работы с XSS мы рассматриваем в другом видео, а в этом видео мы на наглядном примере показываем, как выглядит XSS. Для этого мы создали отдельный общедоступный сайт-песочницу, и вы можете сами попробовать найти на нем некоторые уязвимости.
Сайт LearnQA: www.learnqa.ru/
LearnQA в VK: learnqa
Группа выпускников в TG: t.me/learnqa
Задать вопрос тренеру: t.me/learnqa_s...
Бесплатный курс по основам тестирования: learnqa.ru/sta...
Другие курсы:
Ручное тестирование мобильных приложений: www.learnqa.ru...
Автоматизатор мобильных приложений: www.learnqa.ru...
Тестирование безопасности: www.learnqa.ru...
Серия курсов “Инструменты тестировщика”
Bash: www.learnqa.ru...
Git: www.learnqa.ru...
ADB: www.learnqa.ru...
SQL: www.learnqa.ru...
ChromeDevTools: www.learnqa.ru...
Docker: www.learnqa.ru...
Меня зовут Арсений Батыров, я - основатель компании LearnQA, которая занимается курсами тестировщиков. За более чем 12 лет я прошел путь от junior тестировщика в небольшой компании до руководителя отдела, и теперь обучаю людей тестированию. На этом канале я делюсь своими знаниями и видением современного тестирования и показываю небольшие отрывки из курсов LearnQA, посвященных наиболее популярным темам в тестировании: веб-тестированию и мобильным приложениям, SQL, Docker, Bash и другим инструментам, а также автоматизации тестирования и тестирования безопасности.
alert(123)
Отличные ролики! Быстро и понятно объясняются довольно сложные темы. Спасибо!
Хороший разбор, но меня интересует вопрос, что делать если мой браузер отправляет ajax запросы и отправляет их кому-то?? Как от это-го избавиться?
Было бы не плохо видео про sql injection.спасибо
Здравствуйте, скажите, пожалуйста, XSS уязвимости нужно искать через строку поиска и через админку или только через строку поиска?) Спасибо за классный ролик!)
Я просто в шоке. А надо мной ещё ржали на работе, мол, чего ты хернёй занимаешься, какие-то скриптики в поле поиска вводишь. Ну пиздец им, вот пойду и покажу, зачем же я это делал)))
Хотелось бы больше видео о том как перехватить пароли от сайта
ТОП
Это понятно. Самое сложное - как-то внедрить такой код в ЧУЖОЙ сайт.
есть сайты где можно ввести свое имя для товара
@@andrzej5259 поясни
@@frostbane4002 Помню в некоторых сайтах видел попытки XSS атаки через системы кастомного названия предмета стим. Также в роблоксе была уязвимость и не пытался xss'снуть только ленивый. Но метод довольно старый.
интересное и познавательное видео! спасибо информацию! после просмотра идея пришла в его голову и теперь упорно ищет мозг.))
На сайте playground помимо XSS уязвимости ещё и html инъекция и css инъекция.
html и css инъекция?) Ты серьёзно?)
@@gordonfram Да.
может sql?
@@MANUALS_TM Уязвимости внедрения CSS возникают, когда приложение импортирует таблицу стилей из URL-адреса, предоставленного пользователем, или встраивает пользовательский ввод в блоки CSS без надлежащего экранирования . Они тесно связаны с уязвимостями межсайтового скриптинга (XSS), но их зачастую сложнее эксплуатировать.
alert(document.cookie)
Очень интересная тема , а через код сайта существуют тест проверки уязвимостей??
Конечно :) Какие именно тесты вас интересуют?
Как перекрасить бекграунд пробовал через document.body.style.backgroundColor = "#AA0000";