MC-02

Cross-Site Scripting от Reflected до DOM-based. BeEF Framework, угон сессий, кейлоггеры и CSP bypass.

15 уроков3 темыПродвинутыйBurp + BeEF

Начать обучение ← Все курсы

kali@cyby-lab: ~

$ python3 xss_hunter.py --target https://app.example.com

[*] Сканирую XSS-векторы...

[+] Reflected XSS в параметре ?q=

[+] Stored XSS в поле комментария

[!] Возможен обход CSP

$ █

Почему это важно прямо сейчас

XSS — самая распространённая веб-уязвимость

75%веб-сайтов уязвимы к XSS

2-я позицияв OWASP Top 10

$20k+максимальный баунти за XSS в Google

3 типаXSS: Reflected, Stored, DOM

После курса вы сможете

Не абстрактные знания — конкретные навыки которые можно показать на собеседовании

Все 3 типа XSS: Reflected, Stored и DOM-based на практике

CSP bypass: обход Content Security Policy различными методами

BeEF Framework: захват контроля над браузером жертвы

Угон сессий и кражу cookies через XSS

Защита через CSP, HttpOnly флаги и SameSite атрибуты

DOM-анализ для поиска источников и приёмников инъекций

Blind XSS: нахождение XSS без немедленного отклика

Написание сложных polyglot payload для обхода фильтров

Реальные атаки в курсе

Каждый урок построен на реальных инцидентах — не выдуманных примерах

Реальный кейс2010

Twitter XSS Worm 2010

XSS-червь «onmouseover» распространился через Twitter за считанные минуты, заразив 6 миллионов твитов. Пользователи автоматически ретвитили вредоносный контент.

Тема 01 · Stored XSS

Реальный кейс2018

British Airways 2018

Скиммер платёжных данных был внедрён через XSS на сайт авиакомпании. Похищены данные 500 000 пассажиров, штраф составил $230 млн.

Тема 03 · Stored XSS эксплуатация

История успеха2021

Google $20k за XSS

Исследователь нашёл XSS уязвимость непосредственно в google.com и получил рекордное вознаграждение $20 000 в рамках программы Bug Bounty.

Тема 02 · CSP bypass

Программа курса

3 темы · 15 уроков · от основ до BeEF Framework и CSP bypass

Reflected XSS: принцип и эксплуатация

Stored XSS: внедрение и персистентность

DOM-based XSS: манипуляция клиентским кодом

Self-XSS и социальная инженерия

Контексты внедрения: HTML, атрибуты, JavaScript

Куда ведёт этот курс

MC-02 — обязательный навык для трёх востребованных специальностей в кибербезопасности

$2 500 — $6 000 / мес

Веб-пентестер

Тестируешь веб-приложения на проникновение, находишь XSS, SQLi и другие OWASP Top 10.

Burp SuiteXSSOWASPBeEF

Трек:FC-03 → MC-02 → MC-01

$500 — $∞ / проект

Bug Bounty Hunter

Находишь XSS уязвимости в крупных компаниях и получаешь вознаграждение. Google платит $20k+.

HackerOneBugcrowdXSSDOM analysis

Трек:MC-02 → MC-01 → MC-07

$3 000 — $7 000 / мес

AppSec Engineer

Встраиваешь безопасность в разработку, внедряешь CSP и другие защитные механизмы.

CSPCode ReviewSASTDevSecOps

Трек:FC-03 → MC-02 → AppSec

Для кого этот курс

Разработчики

Хотите понять как XSS атаки работают на практике и как защитить фронтенд

Пентестеры

Расширяете навыки атак на веб и ищете продвинутые техники обхода защит

Bug Bounty

Специализируетесь на XSS в программах вознаграждений — один баг может стоить $20k+

Освой XSS Mastery
на профессиональном уровне
уже сегодня

15 уроков, BeEF Framework, Burp Suite и практика на реальных уязвимых стендах.

Начать обучение ← Все курсы

MC-02● Доступен

XSS Mastery

Уровень: продвинутый

15 уроков

видео + практика

3 темы

по темам

Продвинутый

уровень сложности

Burp + BeEF

основные инструменты

Все 3 типа XSS на практике

BeEF Framework и угон сессий

Реальные кейсы взломов через XSS

CSP и защитные механизмы