Хакинг [Pluralsight] Хакинг веб-приложений: атака на куки (2018)

[Малыш Джон]

Автор: Pluralsight
Название: Хакинг веб-приложений: атака на куки (2018)

Куки интересны атакующим, поскольку они хранят в себе критичные данные. Этот курс, Хакинг веб-приложений: Атака на куки, обучит вас, как избежать серьезных последствий от незащищенной обработки куки.

Во-первых, вы изучите, как может происходить утечка куки с критичными данными из незащищенного канала. Далее вы узнаете, как атакующий может удаленно захватить куки. Также вы узнаете о слабых местах в жизненном цикле куки и ознакомитесь с одной из самых недооцененных атак на куки - XSS с использованием куки (XSS via cookie). И наконец, вы изучите, как атакующий может удаленно изменять пользовательские куки. По окончании курса вы будете понимать, как работают атаки на куки на практике и как производить тестирование веб-приложений на наличие различных дыр в процессе обработки куки. Более того, вы узнаете, как обрабатывать куки безопасно.

Содержание:

• Утечки куки с критичными данными
• Угон куки
• Слабые места в жизненном цикле куки
• Недооцененный риск: XSS с использованием куки
• Удаленное изменение куки

Подробнее:

Скачать:

 

[crazyworm]

Этот "курс" делал маркетолог, а не специалист в ИБ или хакинге. Такое ощущение, что он просто нашел в интернет статью про то, как через XSS тырить куки... но даже не стал ее дочитывать. Просто взял первые 2 параграфа, добавил к ним ввдодные и заключительные видео, наделал скринкастов от 30 секунд до 6 минут и все - курс готов к продаже!

Каждый "модуль" выглядит так:
1. Вводное видео - чтобы вам казалось, что будет интересно, он 30 секунд будет говорить про то, что расскажет в следующих видео.
2. В 2-3 видео покажет идиотский поверхностный пример, и скажет - вот как страшно жить.
3. Заключительное видео, в котором повторит ве из вводного, но в прошедшем числе.

Не тратьте время. Одна статья на тему кражи кук через XSS, написанная левой пяткой, даст вам большее понимания вопроса.