XSS: Межсайтовый скриптинг

Описание модуля:

Пентест без XSS — как багбаунти без бурпа.
Cross-Site Scripting (XSS) — одна из самых распространённых и при этом недооценённых уязвимостей веб-приложений.
Она позволяет злоумышленнику выполнить произвольный JavaScript-код в браузере жертвы, что может привести к перехвату сессий, обходу авторизации, фишингу и даже полной компрометации.

Многие считают XSS «мелкой шалостью» — но те, кто знает, как комбинировать её с другими уязвимостями, умеют взламывать серьёзные цели.

В этом модуле вы:

? Поймёте, что такое XSS, зачем её используют атакующие и почему она до сих пор держится в топе OWASP.
? Разберётесь, чем отличается Stored XSS от Reflected и DOM-based, и где каждая из них чаще всего встречается.
? Научитесь находить XSS-уязвимости вручную и при помощи инструментов — как на поверхности, так и глубже в DOM.
? Потренируетесь внедрять полезные нагрузки в формы, URL, JavaScript и HTML, чтобы добраться до браузера жертвы.
? Освоите способы защиты: от фильтрации и санитизации до использования CSP (Content-Security-Policy).
? Посмотрите настоящие кейсы XSS-атак и поймёте, как безобидная уязвимость приводит к взлому аккаунтов администраторов.

? 6 уроков, 4 из которых — практические.
Каждое задание — это не просто теория, а настоящее мини-расследование, где вы сами находите и используете XSS, как это делают багбаунти-хантеры.

Этот модуль нужен всем, кто хочет:
– понимать, как злоумышленники получают доступ без логина
– проверять сайты на уязвимости, которые часто упускают автоматические сканеры
– и научиться думать как атакующий, чтобы защищать как профессионал

? XSS: Межсайтовый скриптинг — это обязательная база для тех, кто хочет видеть больше, чем показывает браузер.
Если ты хочешь писать код, который никто не взломает — сначала научись писать такой, который взламывает сам.