Client-Side Fundamental
  • Добро пожаловать
  • Глава 1 - Начало работы с XSS
    • Браузерная модель безопасности
    • Знакомимся с уязвимостью XSS
    • Более глубокое понимание XSS
    • Опасный псевдопротокол javascript
  • Глава 2 - Защита и Обход для XSS
    • Первая линия обороны от XSS - Sanitization
    • Вторая линия обороны от XSS - CSP (Content Security Policy)
    • Третья линия обороны против XSS - сокращение области воздействия
    • Последние методы защиты от XSS - Trusted Types и встроенный Sanitizer API
    • Обход защитных мер - Обычные способы обхода CSP
    • Обход защитных мер - Mutation XSS
    • Самая опасная XSS - Universal XSS
  • Глава 3 - Атаки без JavaScript
    • Кто сказал, что для атаки обязательно выполнять JavaScript?
    • Prototype Pollution - Эксплуатация цепочки прототипов
    • Может ли HTML влиять на JavaScript - Введение в DOM clobbering
    • Template Injection in Frontend - CSTI
    • CSS Injection - Атака с использованием только CSS (Часть 1)
    • CSS Injection - Атака с использованием только CSS (Часть 2)
    • Можно ли атаковать, используя только HTML
  • Глава 4 - Межсайтовые атаки
    • Same-origin Policy и Same-Site
    • Введение в Cross-Origin Resource Sharing (CORS)
    • Проблемы Cross-Origin безопасности
    • Cross-Site Request Forgery (CSRF)
    • Спаситель от CSRF - Same-site cookie
    • От same-site до главного site
    • Интересная и практичная Cookie Bomb
  • Глава 5 - Другие интересные темы
    • То, что вы видите, это не то, что вы получаете - Clickjacking
    • Эксплуатация MIME Sniffing
    • Атаки на цепочку поставок во фронтенде - Attacking Downstream from Upstream
    • Атаки на веб-фронтенд в Web3
    • Самая интересная атака на побочные каналы фронтенда - XSLeaks (Часть 1)
    • Самая интересная атака на побочные каналы фронтенда - XSLeaks (Часть 2)
Powered by GitBook
On this page

Добро пожаловать

NextБраузерная модель безопасности

Last updated 8 months ago

Если в данном материале вы встретите какие либо ошибки - обязательно сообщите мне и помогите дополнить материал, вместе мы сделаем его лучше! tg:

В будущем я собираюсь дополнять этот материал, как минимум, лабораторными или полностью переработаю некоторые части исходного ресерча.

В этой серии будут рассмотрены следующие темы:

XSS (Cross-Site Scripting)
CSP (Content Security Policy)
Sanitization
HTML injection
CSS injection
DOM clobbering
Prototype pollution
CSRF (Cross-site request forgery)
CORS (Cross-origin resource sharing)
Cookie tossing
Cookie bomb
Clickjacking
MIME sniffing
XSLeaks (Cross-site leaks)
CSTI (Client-side template injection)
Subdomain takeover
Dangling markup injection
Supply chain attack

Этот цикл статей можно условно разделить на следующие пять глав:

Глава 1: Начало работы с XSS 
Глава 2: Защита и обход XSS 
Глава 3: Атаки без JavaScript 
Глава 4: Межсайтовые атаки 
Глава 5: Другие интересные темы

Целевая аудитория этой серии включает в себя инженеров front-end и людей, интересующихся безопасностью. Предполагается, что читатели обладают хотя бы базовыми техническими знаниями, например, понимают разницу между front-end и back-end и имеют базовое представление о HTML, CSS и JavaScript.

В мире безопасности знания имеют решающее значение. Есть вещи, о которых вы не знаете, что вы не знаете. При разработке вы можете неосознанно создать уязвимость безопасности, не зная, что определенный способ написания кода является проблемой. Я надеюсь, что благодаря этой серии статей вы сможете почерпнуть для себя новые знания. Если это зажжет ваш интерес к безопасности front-end, это будет замечательно. Но даже если нет, я надеюсь, что она хотя бы покажет вам другой аспект front-end разработки и заставит вас почувствовать то, что почувствовал я, когда впервые столкнулся с безопасностью - простыми словами, «Вау, как я раньше не знал об этих вещах?».

Данный материал это мой личный перевод и доработка .

оригинального материала
@wr3dmast3rvs
Page cover image