Иван Румак — Эффективный поиск XSS-уязвимостей
Ближайшая конференция:
Heisenbug 2021 Moscow — 5-7 октября, онлайн.
Подробности и билеты: https://bit.ly/3iVwvxU
. .Cross-Site Scripting стабильно входит в top 10 самых опасных атак на web-приложения, и рассказ от эксперта одновременно и интересен, и полезен.
XSS-уязвимости являются очень распространенными и опасными багами безопасности веб-приложений. 10 из 10 веб-приложений так или иначе подвержены риску быть атакованными через эксплуатацию XSS. Найти эти баги быстрее злоумышленников — в том числе задача тестировщика.
В докладе Иван расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях.
Доклад будет полезен тестировщикам, которые хотят начать тестировать безопасность, а также тем, кто уже занимается тестированием безопасности и хочет прокачаться.
Видео Иван Румак — Эффективный поиск XSS-уязвимостей канала Heisenbug
Heisenbug 2021 Moscow — 5-7 октября, онлайн.
Подробности и билеты: https://bit.ly/3iVwvxU
. .Cross-Site Scripting стабильно входит в top 10 самых опасных атак на web-приложения, и рассказ от эксперта одновременно и интересен, и полезен.
XSS-уязвимости являются очень распространенными и опасными багами безопасности веб-приложений. 10 из 10 веб-приложений так или иначе подвержены риску быть атакованными через эксплуатацию XSS. Найти эти баги быстрее злоумышленников — в том числе задача тестировщика.
В докладе Иван расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях.
Доклад будет полезен тестировщикам, которые хотят начать тестировать безопасность, а также тем, кто уже занимается тестированием безопасности и хочет прокачаться.
Видео Иван Румак — Эффективный поиск XSS-уязвимостей канала Heisenbug
Показать
Комментарии отсутствуют
Информация о видео
Другие видео канала
Андрей Леонов — Web security testing starter kit
Алексей Богачук – Безопасность: уязвимости вашего приложения
Зачем нужен и как работает Docker — ликбез 🐳
Всеволод Брекелов, Артем Ерошенко — Какие тулы ты бы взял на удаленку
Безопасность и защита сайта от угроз и взлома. Урок 1. Виды уязвимостей: xss, csrf, sql injection
Пассивная XSS атака
iTechForum / 2019 – Илья Климов «Три истории о Svelte»
03. Грабим корованы с HTTP request smuggling
ЧТО ТЕСТИРОВАНИЕ БЕЗОПАСНОСТИ МОЖЕТ ПРЕДЛОЖИТЬ ТЕСТИРОВЩИКУ (Румак Иван)
XSS в тестировании: песочница для поиска уязвимостей
Андрей Солнцев — Воркшоп: Как начать свой проект автоматизации с нуля. Продолжение (часть 1)
SQL-инъекция. Оборона и нападение (часть 1)
Три способа украсть деньги с карты и защита от них
Артем Ерошенко — TestOps: DevOps для тестировщиков
#QA, Владимир Смирнов, Ломать – не строить! Автоматизируем поиск XSS-уязвимостей
Что такое XSS уязвимость. Тестируем безопасность
Essentials: Pointer Power! - Computerphile
Как хакнуть фронтенд
Юрий Артамонов — Воркшоп: IDE в помощь специалисту по тестированию (часть 1)