Иван Румак — Эффективный поиск XSS-уязвимостей
Ближайшая конференция:
Heisenbug 2021 Moscow — 5-7 октября, онлайн.
Подробности и билеты: https://bit.ly/3iVwvxU
. .Cross-Site Scripting стабильно входит в top 10 самых опасных атак на web-приложения, и рассказ от эксперта одновременно и интересен, и полезен.
XSS-уязвимости являются очень распространенными и опасными багами безопасности веб-приложений. 10 из 10 веб-приложений так или иначе подвержены риску быть атакованными через эксплуатацию XSS. Найти эти баги быстрее злоумышленников — в том числе задача тестировщика.
В докладе Иван расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях.
Доклад будет полезен тестировщикам, которые хотят начать тестировать безопасность, а также тем, кто уже занимается тестированием безопасности и хочет прокачаться.
Видео Иван Румак — Эффективный поиск XSS-уязвимостей канала Heisenbug
Heisenbug 2021 Moscow — 5-7 октября, онлайн.
Подробности и билеты: https://bit.ly/3iVwvxU
. .Cross-Site Scripting стабильно входит в top 10 самых опасных атак на web-приложения, и рассказ от эксперта одновременно и интересен, и полезен.
XSS-уязвимости являются очень распространенными и опасными багами безопасности веб-приложений. 10 из 10 веб-приложений так или иначе подвержены риску быть атакованными через эксплуатацию XSS. Найти эти баги быстрее злоумышленников — в том числе задача тестировщика.
В докладе Иван расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях.
Доклад будет полезен тестировщикам, которые хотят начать тестировать безопасность, а также тем, кто уже занимается тестированием безопасности и хочет прокачаться.
Видео Иван Румак — Эффективный поиск XSS-уязвимостей канала Heisenbug
Показать
Комментарии отсутствуют
Информация о видео
Другие видео канала
Андрей Леонов — Web security testing starter kitАлексей Богачук – Безопасность: уязвимости вашего приложенияЗачем нужен и как работает Docker — ликбез 🐳Всеволод Брекелов, Артем Ерошенко — Какие тулы ты бы взял на удаленкуБезопасность и защита сайта от угроз и взлома. Урок 1. Виды уязвимостей: xss, csrf, sql injectionПассивная XSS атакаiTechForum / 2019 – Илья Климов «Три истории о Svelte»03. Грабим корованы с HTTP request smugglingЧТО ТЕСТИРОВАНИЕ БЕЗОПАСНОСТИ МОЖЕТ ПРЕДЛОЖИТЬ ТЕСТИРОВЩИКУ (Румак Иван)XSS в тестировании: песочница для поиска уязвимостейАндрей Солнцев — Воркшоп: Как начать свой проект автоматизации с нуля. Продолжение (часть 1)SQL-инъекция. Оборона и нападение (часть 1)Три способа украсть деньги с карты и защита от нихАртем Ерошенко — TestOps: DevOps для тестировщиков#QA, Владимир Смирнов, Ломать – не строить! Автоматизируем поиск XSS-уязвимостейЧто такое XSS уязвимость. Тестируем безопасностьEssentials: Pointer Power! - ComputerphileКак хакнуть фронтендЮрий Артамонов — Воркшоп: IDE в помощь специалисту по тестированию (часть 1)