今回の講義では、クライアント攻撃の帝王、XSS(Cross-Site Scripting)について取り上げます。 XSSの基本概念から攻撃原理、そして何より重要などのプロセスで攻撃手順を経なければならないかについて体系的に学習することができます。
XSS攻撃の概念
XSS攻撃原理
XSS攻撃の種類
XSS攻撃方法論
XSS攻撃、川の一つとしてマスター!
セキュリティ実務者と体系的に学びましょう。
XSSはCross-Site Scripting
(サイト間スクリプト)の略で、
Webページに挿入された悪意のあるスクリプトを介して
サイトが交差し、発生する脆弱性です。
XSSは、クライアント側のスクリプト(Script)を介してサイトがクロスオーバーして発生する脆弱性です。最近の問題となっているランサムウェア感染もXSSを通じて流布や感染になることも多いです。
また、Web攻撃のトレンドがサーバー側からクライアント側に移動し、攻撃原理上、Webアプリケーションで高い確率で脆弱性が発見されています。これにより、XSS攻撃の重要性と関心が高く上がっています。
言い換えれば、このような教育はありません。
ほとんどのWebハッキング教育と書籍では、攻撃の基本的な概念についてのみ説明します。
しかし、本講義は基本概念から攻撃原理、そして何より重要な「どのプロセスで攻撃手順を経なければならないのか」についてより体系的に学習することができます。
セクション1. XSS攻撃の理解
XSS攻撃の基本的な概念と原則について学びます。また、XSS攻撃によって何ができるか、実務の観点からどのように活用され、限界点は何なのかを見ていきます。
シームレスなXSS攻撃のために、攻撃に使用されるプログラミング言語であるJavaScript(JavaScript)について説明します。 JavaScriptの詳細な理解ではなく、XSS攻撃に使われる基本的な概念を中心に学びます。
XSS攻撃技術であるDOMベースのXSS、Reflected XSS、Stored XSSの概念と原理を見て、どのような違いによってこれらの攻撃技術が分類されるのかを学びます。
そのセクションを学んだら、上記のXSS攻撃技術の区別と判断を正確にすることができます。具体的には、 Dom-Based XSSとReflected XSS攻撃を区別できない人は多くの役に立ちます。
このセクションは本講義の重要な内容であり、既存の図書や教育では見られない攻撃方法論です。どのように攻撃にアクセスするのか、特定の状況や環境では、どのように攻撃を行うべきかを知ってこそ、正しく攻撃を行うことができます。
それだけでなく、攻撃時に必ず知っておくべきヒントについて学ぶことができます。
検証ロジックに基づいてバイパスする方法のさまざまな方法を見てください。 XSS攻撃の性質上、いくつかのバイパス技術が存在しますが、このセクションではその中でも特に実務でよく使われる技術について扱います。
XSS攻撃で可能な攻撃の1つであるセッションハイジャック攻撃について説明します。セッションハイジャッキング攻撃の概念と攻撃原理と攻撃実習を進めます。
XSS攻撃で可能な攻撃の1つであるキーロギング攻撃について説明します。キーロギング攻撃の概念と攻撃原理と攻撃実習を進めます。
このセクションでは、多くの診断者が脆弱性を診断するときに間違いを犯す部分でもある、実務診断の際に注意するさまざまな点について説明します。
攻撃だけでなく対応方案についても必ず知ってこそ真の情報セキュリティ専門家といえます。
最後のセクションでは、XSS攻撃に対する防御に必要なセキュアコーディング方法とセキュリティライブラリの使用について説明します。また、セッションハイジャック攻撃を防御する方法についても説明します。
Q. 講義受講前に知っておくべきことはありますか?
Web基礎に関する知識があれば役立ちます。私の講義の中で、次の講義を先に受講することをお勧めします。
必ず知って超えなければならないウェブ技術基礎編
HTTP、WWW、クッキー/セッションなど必須知識を一度に。
Q. 情報セキュリティ関連の知識がない非専攻者もしくは学生ですが、受講してもいいですか。
上記のようにWeb基礎講義を受講している場合は無理なく受講できます。また、いくつかのプログラミング知識がある場合は、学習に多くの助けになることができます。
Q. 「Web開発者と情報セキュリティ入門者が必ず知る必要がある、Webハッキングとセキュリティ、そしてセキュアコーディング」講義で扱うXSS攻撃内容と本講義の違いは何ですか?
言及した講義にもXSS関連内容を扱いますが、既存の教育や図書で言及するレベルの内容を学習することになります。このレッスンでは、攻撃についてどのように診断するかについての方法論的な部分とプロセスを詳しく学ぶことができます。
Webハッキング、セキュリティ、セキュアコーディング
ウェブハッキングを楽しく始めたいなら!
Q. 情報セキュリティ実務者も聞くことができますか?
当然です。むしろもっと助けになるでしょう。これまでの講義で、この部分はすでに立証されていたと思います。 ^^
※本教育PPTにはネイバーが提供した共有フォントが適用されています。
学習対象は
誰でしょう?
情報セキュリティ入門者
情報セキュリティの専門家
Web開発者
前提知識、
必要でしょうか?
Webベース
プログラミングの基礎
26,082
受講生
1,381
受講レビュー
501
回答
4.9
講座評価
18
講座
안녕하세요, 크리핵티브입니다.
다년간 다양한 웹 서비스를 진단하고 연구한 경험을 바탕으로, 실무에 바로 적용 가능한 지식을 인프런 플랫폼에서 공유해오고 있습니다.
그리고 웹 해킹 기초를 체계적으로 다룬 『크리핵티브의 한 권으로 끝내는 웹 해킹 바이블』을 집필했습니다. 기초가 부족한 분들께는 이 책으로 학습을 시작하실 것을 권합니다.
『크리핵티브의 한 권으로 끝내는 웹 해킹 바이블』 저자
이메일 : crehacktive3@naver.com
全体
69件 ∙ (9時間 14分)
講座資料(こうぎしりょう):
1. 教育紹介
09:07
3. PHP設定
10:51
4. MYSQL環境変数の設定
05:59
5. 仮想環境と実践例環境設定
04:47
6. XSS攻撃とは何ですか?
10:12
8. 攻撃対象
03:49
9. 攻撃タイプ
09:53
10. XSS攻撃が注目される理由
04:27
11. 実務の観点からXSS攻撃を活用
12:41
全体
53件
4.9
53件の受講レビュー
受講レビュー 4
∙
平均評価 5.0
受講レビュー 4
∙
平均評価 4.3
受講レビュー 4
∙
平均評価 5.0
5
I trust and watch the lecture of the creative instructor~ I was able to learn a lot. Thank you~ When will I be able to meet the sql injection part 3 lecture?
We will do our best to open it within this year. Thank you.
受講レビュー 1
∙
平均評価 5.0
受講レビュー 11
∙
平均評価 5.0
期間限定セール
¥40
23%
¥7,832
知識共有者の他の講座を見てみましょう!
同じ分野の他の講座を見てみましょう!
![File Upload Vulnerability Advanced Attack Techniques PART2 [Integrated Edition]Course Thumbnail](https://cdn.inflearn.com/public/courses/333012/cover/12bd40e1-1e17-493a-81b9-64ac5fed558e/333012.png?f=avif&w=420)
