خلاصه دوره نام دوره : دوره جامع آموزش باگ XSS برای تست نفوذ و تامین امنیت وب سایت ها
مدرس : نیما حسینی
تعداد قسمت : 12
مدت دوره : بیش از 2 ساعت 50 دقیقه
حجم فایل ها : 700 مگابایت
پیشنیاز : ندارد
سطح دوره : مبتدی تا حرفه ای

حتما قبل از آن که به این صفحه از دوره اموزش باگ XSS وارد شوید، تجربه اموزش ها و دوره های مختلفی از تست نفوذ و هک گذرانده اید و مشکلی که داشته اید این بوده است که اموزش ها به صورت عملی و یا بروز نیستند که بتوانید از ان ها استفاده کنید؛ اما این دوره بسیار متفاوت است و ما در این دوره 6 سال تجربیات خود در زمینه هک و امنیت را در قالب اموزش های عملی در اختیار شما قرار می‌دهیم.

باگ XSS چیست؟

Cross-site scripting یا همان XSS نوعی آسیب پذیری در وب سایت ها (وب اپلیکیشن ها) است و هنگامی رخ می‌دهد که هکر ها JavaScript مخرب خود را در مرورگر قربانی اجرا می‌کنند. در این اسیب پذیری کد مخرب در مرورگر کاربر اجرا می‌شود. برای مثال هکر می‌تواند کد مخرب خود را در صفحه یک وب سایت قرار دهد تا هر زمان سایت بارگیری می‌شود، کد های ان بر روی همه کاربران وب سایت و یا حتی ادمین ان اجرا کنند.

حمله زمانی اتفاق می‌افتد که شخص قربانی از صفحه وب آلوده به کد مخرب بازدید می‌کند، صفحه وب آماده ارسال کدهای مخرب به سمت مرورگر قربانی است و پس از بازدید از آن سایت به مرورگر کاربر انتقال میابد. برخی از برنامه های وبی که برای حملات XSS استفاده می‌شوند عبارتند از صفحات چت و پیام، انجمن ها، صفحات وب سایت و…. که این حالت ها فقط بخش کوچکی از این حملات هستند و اواع مختلفی هستند که در این دوره به صورت کامل اموزش داده شده اند.

هکر یا متخصص تست نفوذ می‌تواند با استفاده از XSS اسکریپت مخربی را برای یک کاربر بی خبر ارسال کند. مرورگر کاربر متوجه مخرب بودن اسکریپت ها نمی‌شود و فکر می‌کند که از یک منبع معتبر آمده است، این اسکریپت مخرب می‌تواند به هر کوکی یا اطلاعات حساس که توسط مرورگر نگهداری و در آن سایت استفاده می‌شود، دسترسی پیدا کند برای مثال با در دست داشتن کوکی ها هکر می‌تواند به اکانت کاربران دیگر بدون اطلاعات ورود ان ها دسترسی داشته باشد. حتی این اسکریپت ها می‌توانند محتوای صفحه HTML را دوباره بنویسند.

خطرات باگ XSS

• در دسترس قرار گرفتن اکانت های کاربران و ادمین
• انتقال به صفحات جعلی
• تغییر محتوا صفحات و اجرا شدن برنامه های الوده.
• ….

حملات XSS می‌توانند از آسیب پذیری ها در طیف وسیعی از محیط های برنامه نویسی، از جمله VBScript ، Flash ، ActiveX و JavaScript استفاده کنند. بیشتر اوقات XSS، زبان JavaScript را هدف قرار می‌دهد زیرا این زبان با اکثر مرورگر ها به خوبی ادغام شده است.

حملات XSS چگونه کار می‌کنند؟

زمانی هکر کد خود را به یک صفحه وب تزریق می‌کند که آسیب پذیری در وب سایت وجود داشته باشد، سپس می‌تواند اسکریپت خود را تزریق کنند تا توسط مرورگر قربانی اجرا شود.

از آنجا که جاوا اسکریپت در صفحه مرورگر قربانی اجرا می‌شود، جزئیات حساس درباره کاربر تأیید شده می‌تواند از session سرقت شود، در واقع به یک مهاجم امکان می‌دهد تا مدیران سایت را هدف قرار داده و وب سایتی را به طور کامل به خطر بیندازد.

یکی دیگر از کاربرد های محبوب حملات cross-site scripting، زمانی است که این آسیب پذیری در اکثر صفحات عمومی وب سایت موجود باشد. در این حالت، مهاجمان می‌توانند با افزودن تبلیغات خود، پیام های فیشینگ یا سایر مطالب مخرب، کد خود را برای هدف قرار دادن بازدید کنندگان وب سایت تزریق کنند.

چگونه می توان از حملات XSS جلوگیری کرد؟

متخصصان تست نفوذ از روش های مختلفی برای استفاده از این آسیب پذیری وب سایت استفاده می‌کنند. در نتیجه، امنیت ان به صورت 100% نیست اما ما در این دوره اموزش هایی را قرار داده ایم که بتوانید با بالا ترین سطح امنیت xss را کنترل کنید تا حدی که حتی در صورت وجود اسیب پذیری هکر نتواند از ان برای اهداف مخرب استفاده کنید.

برای محافظت از وب سایت باید اقدامات محافظتی زیر انجام شود که داخل دوره به صورت کامل و عملی کار شده است:

1. استفاده از ابزار های امنیتی
2. رمزگذاری داده ها بر روی خروجی
3. فیلتر کردن ورودی های کاربر
4. پاکسازی داده ها و مقادیر
5. محدودیت در استفاده از HTML
6. سیاست امنیت محتوا (content security policy)

دوره اموزش باگ XSS و راه های تامین امنیت

با توجه به اینکه با باگ XSS آشنا شده اید حتماً متوجه این موضوع هستید که این یکی از مهمترین آسیب پذیر هایی است که می‌تواند در یک وب سایت وجود داشته باشد و می تواند در شرایط مختلف بسیار خطرناک باشد، به همین خاطر باید این آسیب پذیری را به صورت حرفه‌ای یاد بگیرید و بتوانید آن را از وب سایت های مختلف در مراحل تست نفوذ خود کشف کنید؛ که ما داخل این دوره به صورت حرفه‌ای این آسیب پذیری بسیار مهم را به شما آموزش می‌دهیم.

ایا نیاز به یادگیری جاوا اسکریپت داریم؟

دقت داشته باشید برای استفاده از این آسیب پذیری شما نیاز به یادگیری کامل زبان جاوا اسکریپت ندارید چرا که فقط از موارد خاصی از این زبان ما در XSS استفاده می‌کنیم و یادگیری کامل این زبان شاید اصلا در بحث تست نفوذ برای ما خیلی کاربردی نباشد و اگر علاقه مندب به ان نباشید یادگیری کامل ان برای شمابی فایده است و فقط زمان شما گرفته خواهد شد، داخل دوره مواردی که برای XSS در جاوا اسکریپت استفاده می کنیم به صورت کامل آموزش داده شده است و هیچ نیازی به یادگیری این زبان به صورت جداگانه برای اسیب پذیری XSS ندارید و در واقع این دوره برای شما کافی خواهد بود و نیازی به دوره دیگری ندارید، این دوره هیچ پیش نیازی ندارد و با هر سطح دانشی که هستید می‌توانید از از این دوره استفاده کنید.

دوره اموزش اسیب پذیری XSS مناسب چه کسانی است؟

اگر شما به حوزه هک و امنیت علاقه مند هستید این دوره می‌تواند برای شما مناسب باشد و اگر در نظر دارید در سطح پیشرفته تست نفوذ کار کنید و آن را به صورت حرفه ای یادبگیرید بازهم این دوره برای شما بسیار می‌تواند مفید باشد، مهمترین پیش نیازی که این دوره دارد این است که علاقمند به تست نفوذ باشید و و اراده جدی برای یادگیری داشته باشید.

دلیل منحصر به فرد بودن این دوره پن تست کور این است که در تمامی قسمت های دوره آموزش های داده شده به صورت عملی هستند و در هیچ جای دیگر این آموزش ها و تکنیک هایی که آموزش داده شده اند را نمی‌توانید پیدا کنید، داخل این دوره اصلا قرار نیست شما مباحث کلیشه ای و طولانی غیر کاربردی یادبگیرید که فقط خسته شوید ما داخل این دوره سعی کردیم تمامی مباحث این دوره را در زمانی فشرده و مناسب اموزش دهیم و با اطمینان هم می‌توانیم بگوییم کامل ترین و تخصصی ترین دوره اموزش باگ XSS در این زمینه را مشاهده می‌کنید.

این دوره اموزشی حاصل تجربیات اجرایی و تحقیقاتی تیم پن تست کور در طی چندین سال فعالیت متمرکز در حوزه تخصصی هک و امنیت بوده است.

مباحث دوره آموزش باگ XSS و جلوگیری از ان

• آشنایی کامل با XSS

• درک مفهومی عملکرد اسیب پذیری XSS

• آشنایی با JavaScript ، کاربرد XSS و میزان دسترسی هکر

• پیاده سازی حمله XSS از طریق متد GET  و POST

• تحلیل کد برای درک کامل اسیب پذیری XSSو باگ یابی از طریق کد

• آموزش چندین تکنیک مختلف برای جلوگیری و مقابله با XSS

• آشنایی با کوکی ها و اموزش کامل استفاده از ان ها به صورت حرفه ای

• استفاده از برنامه های کاربردی + اموزش کار بدون استفاده از ان ها

• اسکریپت اختصاصی

• استفاده از ابزار های تخصصی برای باگ یابی به صورت حرفه ای

• اموزش انواع روش های حمله XSS

• پیاده سازی حمله XSS با سطح اسان

• پیاده سازی حمله XSS با سطح متوسط

• پیاده سازی حمله XSS با سطح سخت

• اموزش تکنیک های بایپس و دور زدن WAF

• پیاده سازی حمله بر روی چندین تارگت واقعی جهت تمرین با تکنیک های بسیار پیشرفته

• ….

چرا پن‌تست‌کور؟

تیم پن تست کور بزرگ ترین مرجع اموزشی هک و امنیت در ایران است که از افراد با تجربه و متخصص در این حوزه تشکیل شده است، که شما با یادگیری از پن تست کور از اساتید بسیار حرفه ای و متخصص اموزش میبینید؛ ما معتقد هستیم برای یادگیری هر چیزی باید به برترین مدرسان متخصص همان حوزه مراجعه کنید.

بعد از تهیه دوره در صورتی که سوال و مشکلی داشته باشیم چگونه ان را رفع کنیم؟

ما برای دانشجویان دوره راه های پشتیبانی به صورت اختصاصی در نظر گرفته ایم که در صورتی که سوال و مشکلی داشته باشید می‌توانید از طریق این راه های پشتیبانی از ما بپرسید.

ویدیو های این دوره اموزشی در چه سیستم عاملی قابل مشاهده است؟

قبل از تهیه دوره در نظر داشته باشید این دوره دارای لایسنس بوده و فقط در ویندوز با دسترسی به اینترنت می‌توانید ان را مشاهده کنید.

ایا اموزش های دوره باگ XSS به صورت عملی است؟

بله این دوره به صورت عملی بوده و تمامی مباحث دوره با مثال و تمرین انجام شده است.

ایا تارگت های استفاده شده در اموزش واقعی هستند؟

بله در بیشتر مباحث این دوره از تارگت های مختلف با سطح های مختلف استفاده شده است.

اگر قبل از خرید دوره سوالی داشته باشیم از کجا باید بپرسیم؟

می توانید از منو بالای سایت از طریق بخش تماس با ما، چت انلاین، ایمیل و ربات تلگرامی ما با ایدی PentestCore_bot@ با ما در ارتباط باشید. همچنین می‌توانید با شماره 28422686 021 در روز های شنبه تا چهارشنبه از ساعت 10 صبح تا 4 بعد از ظهر تماس بگیرید.