Иван Румак - Эффективный поиск XSS-уязвимостей

Поделиться
HTML-код
  • Опубликовано: 15 авг 2019
  • Ближайшая конференция - Heisenbug 2024 Autumn, 10 октября (Online), 17-18 октября (Санкт-Петербург + трансляция).
    Подробности и билеты: jrg.su/Tq0vcu
    - Ближайшая конференция: Heisenbug 2023 Autumn - 10-11 октября (online), 15-16 октября (offline)
    Подробности и билеты: bit.ly/3qd3swV
    - - -
    . . .Cross-Site Scripting стабильно входит в top 10 самых опасных атак на web-приложения, и рассказ от эксперта одновременно и интересен, и полезен.
    XSS-уязвимости являются очень распространенными и опасными багами безопасности веб-приложений. 10 из 10 веб-приложений так или иначе подвержены риску быть атакованными через эксплуатацию XSS. Найти эти баги быстрее злоумышленников - в том числе задача тестировщика.
    В докладе Иван расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях.
    Доклад будет полезен тестировщикам, которые хотят начать тестировать безопасность, а также тем, кто уже занимается тестированием безопасности и хочет прокачаться.

Комментарии • 30

  • @yuliyacher67
    @yuliyacher67 3 года назад +10

    Большое спасибо. Отлично.

  • @Ibragimov_Artem
    @Ibragimov_Artem 2 года назад +2

    Здорово!) Спасибо!)

  • @user-is1yq4cv7y
    @user-is1yq4cv7y 4 года назад +4

    Спасибо за видео!

  • @Dunai12345
    @Dunai12345 Год назад +2

    Отличная лекция, спасибо!

  • @ermolaev_ivan
    @ermolaev_ivan 3 года назад +6

    отличное видео, все стало много понятней)))

  • @KzVideosyes
    @KzVideosyes 3 года назад +4

    Оооочень круто шик

  • @timon1816
    @timon1816 Год назад +1

    очень классно рассказал

  • @user-hy4dp2mh5p
    @user-hy4dp2mh5p Год назад +5

    Как раз пишу диплом по этой теме. (Пожелайте мне удачи)

  • @farrukhkhamidov5126
    @farrukhkhamidov5126 3 года назад

    Где можно найти ссылку на презентацию этого доклада ?

    • @Heisenbugconf
      @Heisenbugconf  3 года назад +4

      А вот и она!:) 2019.heisenbug-piter.ru/2019/spb/talks/4ujtqddxog5gekizpaxjza/
      Все презентации можно найти на нашем сайте в разделе "Материалы"

  • @Stas1983ful
    @Stas1983ful 4 года назад

    Извиняюсь за глупый вопрос, можно узнать, вы в основном вручную находили баги или спомощью сканеров?

    • @user-cf8hf1ov3s
      @user-cf8hf1ov3s 4 года назад +1

      Сканеры не всегда точный ответ могут дать.

    • @Stas1983ful
      @Stas1983ful 4 года назад

      @@user-cf8hf1ov3s Спасибо!

    • @dmitry7464
      @dmitry7464 2 года назад

      Он вручную

    • @llllNEOllllchannel
      @llllNEOllllchannel 2 года назад +2

      @@user-cf8hf1ov3s человек не всегда точный ответ может дать

  • @petrovasyka8
    @petrovasyka8 3 года назад

    48:47 получается можно получить выполнять любые shell команды от рута на серве?

  • @ctf59
    @ctf59 8 месяцев назад

    Что делать если отправляемая нагрузка отображается НЕ в ответе сервера а на совершенно другой странице!? Как мне в этом случае слать пейлоады в интрудере(фазить) а затем атоматом каждый раз бегать на другую страницу чтобы проверить отработали они или нет...? Писать скрипт на .py под такой таск?

  • @user-gn7fq3lu8q
    @user-gn7fq3lu8q 3 месяца назад

    бля, я Ивана-фан)) тоже есть опыт работы QA, такая же история с переквалификацией.. только такого молодца никто на работу брать не хочет 😂 так что всё это хобби и так, для души..

  • @evgeniykuznetsov5609
    @evgeniykuznetsov5609 2 года назад +4

    На Мэддисона похож

  • @samrybkin9184
    @samrybkin9184 3 года назад +5

    Интересно с чего он начинал где учился всему этому?

  • @Harek0days
    @Harek0days 25 дней назад

    Если бы Мэддисон пошел в веб-безопасность, а не в обзоры игр и стримы

  • @geraltofrivia9550
    @geraltofrivia9550 2 года назад +4

    Я АБОБУС

  • @AndriiGoogle
    @AndriiGoogle 4 года назад +1

    а можно ссылку на открытые репорты Ивана, чтобы читать и обучаться?

    • @AndriiGoogle
      @AndriiGoogle 4 года назад

      @@ivanrumak4938 спасибо!

Следующие
Автовоспроизведение
Андрей Леонов - Web security testing starter kit57:17Андрей Леонов — Web security testing starter kit
Андрей Леонов - Web security testing starter kitHeisenbug
Просмотров 7 тыс.
DO NOT USE alert(1) for XSS12:16DO NOT USE alert(1) for XSS
DO NOT USE alert(1) for XSSLiveOverflow
Просмотров 162 тыс.
Website Hacking Demos using Cross-Site Scripting (XSS) - it's just too easy!34:52Website Hacking Demos using Cross-Site Scripting (XSS) - it's just too easy!
Website Hacking Demos using Cross-Site Scripting (XSS) - it's just too easy!David Bombal
Просмотров 315 тыс.
Roy McIlroy reacts after watching Bryson DeChambeau win the US Open00:37Roy McIlroy reacts after watching Bryson DeChambeau win the US Open
Roy McIlroy reacts after watching Bryson DeChambeau win the US OpenGuardian Sport
Просмотров 23 тыс.
Mañanitas Papá - Los Tres Tristes Tigres01:30Mañanitas Papá - Los Tres Tristes Tigres
Mañanitas Papá - Los Tres Tristes TigresLos Tres Tristes Tigres
Просмотров 559 тыс.
GOKU VS VEGETA In DRAGON BALL: Sparking! ZERO Is CINEMA (Exclusive Footage)11:53GOKU VS VEGETA In DRAGON BALL: Sparking! ZERO Is CINEMA (Exclusive Footage)
GOKU VS VEGETA In DRAGON BALL: Sparking! ZERO Is CINEMA (Exclusive Footage)SeeReax
Просмотров 401 тыс.
NEXT TIME | Empire of Death | Doctor Who00:35NEXT TIME | Empire of Death | Doctor Who
NEXT TIME | Empire of Death | Doctor WhoDoctor Who
Просмотров 186 тыс.
XSS-уязвимости в безопасности сайтов. Взлом и защита.24:24XSS-уязвимости в безопасности сайтов. Взлом и защита.
XSS-уязвимости в безопасности сайтов. Взлом и защита.Deep IT
Просмотров 11 тыс.
Reflected XSS10:39Reflected XSS
Reflected XSSВладимир Башун
Просмотров 1,4 тыс.
Рамазан Рамазанов - Тестирование безопасности API: кейсы, инструменты и рекомендации43:53Рамазан Рамазанов — Тестирование безопасности API: кейсы, инструменты и рекомендации
Рамазан Рамазанов - Тестирование безопасности API: кейсы, инструменты и рекомендацииHeisenbug
Просмотров 4,9 тыс.
Артем Ерошенко - Визуализация покрытия автотестов1:00:03Артем Ерошенко — Визуализация покрытия автотестов
Артем Ерошенко - Визуализация покрытия автотестовHeisenbug
Просмотров 8 тыс.
001. Безопасность веб-приложений - Эльдар Заитов1:46:12001. Безопасность веб-приложений - Эльдар Заитов
001. Безопасность веб-приложений - Эльдар ЗаитовYandex for Security
Просмотров 78 тыс.
Эта УЯЗВИМОСТЬ есть ВЕЗДЕ! || XSS на примерах13:46Эта УЯЗВИМОСТЬ есть ВЕЗДЕ! || XSS на примерах
Эта УЯЗВИМОСТЬ есть ВЕЗДЕ! || XSS на примерахMulabarrr
Просмотров 43 тыс.
CSRF-уязвимости все еще актуальны / Михаил Егоров (Odin - Ingram Micro)35:33CSRF-уязвимости все еще актуальны / Михаил Егоров (Odin — Ingram Micro)
CSRF-уязвимости все еще актуальны / Михаил Егоров (Odin - Ingram Micro)HighLoad Channel
Просмотров 13 тыс.
TCP/IP: что это и зачем нужно1:35:59TCP/IP: что это и зачем нужно
TCP/IP: что это и зачем нужноHillel IT School
Просмотров 581 тыс.
ЧТО ТЕСТИРОВАНИЕ БЕЗОПАСНОСТИ МОЖЕТ ПРЕДЛОЖИТЬ ТЕСТИРОВЩИКУ (Румак Иван)19:47ЧТО ТЕСТИРОВАНИЕ БЕЗОПАСНОСТИ МОЖЕТ ПРЕДЛОЖИТЬ ТЕСТИРОВЩИКУ (Румак Иван)
ЧТО ТЕСТИРОВАНИЕ БЕЗОПАСНОСТИ МОЖЕТ ПРЕДЛОЖИТЬ ТЕСТИРОВЩИКУ (Румак Иван)Видео с мероприятий {speach!
Просмотров 6 тыс.
Whyyy? 😭 #shorts by Leisi_family00:15Whyyy? 😭 #shorts by Leisi_family
Whyyy? 😭 #shorts by Leisi_familyLeisi_family
Просмотров 5 млн
ПОЧЕМУ ОТЕЦ НЕВЕСТЫ ПЛАЧЕТ #иванабрамов #юмор #стендап #standup #моидевочки #shorts01:00ПОЧЕМУ ОТЕЦ НЕВЕСТЫ ПЛАЧЕТ #иванабрамов #юмор #стендап #standup #моидевочки #shorts
ПОЧЕМУ ОТЕЦ НЕВЕСТЫ ПЛАЧЕТ #иванабрамов #юмор #стендап #standup #моидевочки #shortsИван Абрамов
Просмотров 93 тыс.
Продаю тачку из гаража мечты :(52:18Продаю тачку из гаража мечты :(
Продаю тачку из гаража мечты :(Ильдар Live
Просмотров 2,3 млн
СТРАНА САМЫХ СТРЁМНЫХ ЖЕНЩИН / Камерун, Африка34:12СТРАНА САМЫХ СТРЁМНЫХ ЖЕНЩИН / Камерун, Африка
СТРАНА САМЫХ СТРЁМНЫХ ЖЕНЩИН / Камерун, АфрикаПЛАНЕТКА
Просмотров 110 тыс.
ЧАПЛЫГА: ФОРТОЧКА ПЕРЕГОВОРОВ ЗАКРЕТСЯ 28 АВГУСТА! ПАРТИЯ ВОЙНЫ ПОБЕЖДАЕТ...58:05ЧАПЛЫГА: ФОРТОЧКА ПЕРЕГОВОРОВ ЗАКРЕТСЯ 28 АВГУСТА! ПАРТИЯ ВОЙНЫ ПОБЕЖДАЕТ...
ЧАПЛЫГА: ФОРТОЧКА ПЕРЕГОВОРОВ ЗАКРЕТСЯ 28 АВГУСТА! ПАРТИЯ ВОЙНЫ ПОБЕЖДАЕТ...Politeka Online
Просмотров 627 тыс.
Abdulla Qurbonov - Shama keladi choydan | Raqsida Shukurullo Isroilov #abdullaqurbonov #shukurullo00:31Abdulla Qurbonov - Shama keladi choydan | Raqsida Shukurullo Isroilov #abdullaqurbonov #shukurullo
Abdulla Qurbonov - Shama keladi choydan | Raqsida Shukurullo Isroilov #abdullaqurbonov #shukurulloHumo Music
Просмотров 2,2 млн
Я прожил 100 Дней ЗА ГЛАДИАТОРА в Майнкрафт…37:07Я прожил 100 Дней ЗА ГЛАДИАТОРА в Майнкрафт…
Я прожил 100 Дней ЗА ГЛАДИАТОРА в Майнкрафт…TumkaGames / Тумка :3
Просмотров 428 тыс.
Выполни Безумное Испытание - Получи 250.000 ₽ (Парадеич, Кореш, Горилла, Кокошка)1:54:17Выполни Безумное Испытание - Получи 250.000 ₽ (Парадеич, Кореш, Горилла, Кокошка)
Выполни Безумное Испытание - Получи 250.000 ₽ (Парадеич, Кореш, Горилла, Кокошка)ExileShow
Просмотров 2,7 млн