Очень круто, что появился такой замечательный канал. На русском ютубе мало качественного контента по кибербезу. А тут не только полезная информация, но и грамотная подача, красивый голос и приятный автор канала. Идеально!

смотрит 1000, вникает 100, делают 10. лайк + подписка!

Огонь 🔥 Благодарю за труд, очень интересно!!!! Спасибо!!!!

Очень хорошо поставлена речь, из-за чего материал воспринимается очень легко. Спасибо!

Чудесный видеоролик! Большое спасибо!🖐

Спасибо за контент, отличная подача и доступный материал, добра тебе, мужик.

Бро, ты ОЧЕНЬ крут! Жги еще!)) Спасибо!!!

Очень полезная информация, благодарю 🙏

чел хорошо подал материал и приятная атмосфера будем надеятся что он резко не исчезнет как некоторые

Спасибо, до этого не было конечного представления как это работает, а оказывается все так просто

Спасибо, за такой интересный контент!!!🔥🔥🔥

Спасибо большое за видос!

Спасибо автору за труд.

Спасибо, всё грамотно и без понтов! :)

годно. знал и читал про xss, но на примерах сильно интереснее

Информативно! Спасибо

Ура! 5-е видео (:

Потрясающе, экстремально интересно

Всё просто замечательно! Я с нетерпением ждал выхода этого видео. 😊 Было бы увлекательно узнать, как именно осуществляется защита и как можно реализовать данную меру безопасности.

Наконец то нашёл нормальный видос по инъекциям XSS, спасибо

Если честно, это было супер полезно

Очень полезно видео, спасибо большое!

Я все ждал, когда уязвимость будет продемонстрирована на каких-нибудь реальных сайтах -- хотя бы на не очень известных, потому что заявление о том, что такие уязвимости есть на известных и крупных сайтах, слишком уж смелое. Такое возможно только в очень редких случаях, если разработчик слишком уж сильно косякнул. В то же время в ролике мало внимания уделено тому, как избежать этой уязвимости при разработке. Плюс видео -- уязвимость хорошо описана и наглядно показана суть работы, за это автору респект

Хорошие объяснение, ждем еще

круто! успехов в развитии канала!

Парень, видос шикарный, так держать, отличное объяснение, отличный пример, подписка лайк.

Инфа 💯 полезности! Спасибо

Бро лайк подписка однозначно все развернуто и интересно подача инфы на высшем уровне успехов тебе в этом :)))

Продолжай в том же духе. Очень крутой видос! Сразу подписался.

На самом деле эта уязвимость часто встречается, но не так очевидно, как показано в видео. То, что она есть везде это не так, но то, что она есть на многих сайтах - это так. Чтобы от нее защититься нужно экранировать любой пользовательский ввод. Это часто забывается так как сначала делается, например, отображение данных, а через пол года получение или наоборот.

Да ты сокровище 🔥

Так все хорошо объяснил.

Интересное видео! Автору респект. Давно интересует тема инфо безопасности и киберзащита. Но изучать всерьез все времени нет.

Бро ток не останавливайся!🎉🎉🎉🎉🎉

Очень хорошо обьяснил!!! Можно такое же видео по CORS и CSP?))

не знаю, с каких времен я превратился в человека, который кроме лайков может ставить еще и дизлайки на ютубе на плохие ролики(не вам), и писать подобные комментарии, но видос просто прекрасный, плюс в добавок и полезный, поэтому желаю вам всего хорошего и советую распространить данный видеоролик для как можно больших людей, чтобы они хотя бы осознавали существование таких вещей...

Спасибо пупсик ❤

Этой атаке 500 лет, и от нее давно научились защищаться кто угодно, даже лохозавры со скиллбоксов и гикбрейнсов. Ща уже самый простенький сайт на юкозе или еще каком-нибудь говне такой атакой не вскроешь толком. Ща уже днем с огнем не сыщешь реальный сайт, где каждое поле ввода не экранируется. Если лохозавр на фронте это забыл запилить, то какой-нибудь пхпшник полюбас хтмлспешалчарс пихнул предусмотрительно, или наоборот.

Спасибо. Теперь бы ещё про то, что могут сделать вредоносные скрипты по-подробнее

Я ждал этого момента

Вставка скрипта в комментарии - это чисто криворукость программиста и самой технологии которую он использует. Если строго задать в теге что должен быть текст при ответе сервера, то никак не вставить потом тег скрипта.

Любой сайт, который написан не третиклассником экранирует весь вводф. Так себе кликбейт, если честно.

Так ну теперь методы сериализации и десериализации нужны. За видео лайк!

Хорошая подача

Сейчас бы в 2024 году слушать про XSS :)

Вроде сейчас все сайты на фреймворках пишутся, в том же laravel допустим есть защита от любого рода xss, sql injections, разве нет?

да такое встречается, но еще с незапамятных времен, лет 15 назад, бесплатные движки, не будем о других багах) в базовых настройках внедряли фильтры и давольно неплохие, можно было вообще все запретить в джумле, друпале, вп был попроше) там в принципе беда была такая, да и наверное есть, давно не пользуюсь, в плагинах к движку. помню была какая то галлерея, на вп или джумлу, точно не помню, так там нехитрыми манипуляциями можно было вообще через нее получить доступ к каталогу хоста) и не важно, что расширения к не имеют отношения к мультимадиа) хоть htaccess правь) причем сама галерея его открывала без вопросов, позволяла редактировать и сохранять))

Расскажи пожалуйста что за sso и что за практическая уязвимость перед sso, из того что я читал, выходило что это глупая теоретическая уязвимость, но не практическая

По монтажу видео. Есть куда расти ) Названия терминов надо дублировать на видео. Тряска - лишнее, либо уменьшить амплитуду. Ну и много так по мелочи: звук, голос, ударения в предложениях, паузы и т.п. По контенту: делай шортсы с введением в проблематику, а в закрепе или в описании (что лучше, тк там ссылки нормально работают, в отличие от комментария; про "перевод" -- знаю, но это работает через раз, поверь). Как говорится «делайте это упражнение по утрам и Ваш 1 млн зрителей скажут спасибо».

Наверное есть безопасные фреймворки, типа Spring для джавы. Не сталкивался с необходимостью обрабатывать инпут, поскольку фреймворк под капотом делает всю эту рутину

А можно вопрос про xss. Я жто обсуждал со знакомыми и мы не пришли к какому то консенсусу. Ровно как и Вы мои знакомые топят что ответсвенность должна лежать на разработчике. Но с моей точки зрения, к примеру, фронтенд должен делать именно то для чего он предназначен - рисковать UI. Для безопасности на уровне запросов это должно фильтроваться бэкендом. На уровне контента веб сервером. Для этого и есть WAF/ModSecurity. Почему я не прав?

Помню даже ВКонтакте нашли уязвимость XSS (Reflected). И ещё даже в сайтах Минобороны США

Скриптуйте все, принимайте только то что нужно принимать, фильтруйте input пользователя, и будет вам счастье. Согласен что тут показаны простые примеры, еслли сайт более комплексный с большим количеством принимаемой информации, и всяких запросов, то реализовать такую защиту сложнее, в таком случае создавайте функции которые будут заниматься санитайзингом Input от пользователя, и обворачивайте в них все input. По поводу XSS в ссылке, гет параметр search в данном случае такой же принимаемый параметр который также должен быть отфильтрован. Помните правило backend - никогда не доверяй принимаемой информации.

очень интересное видео, но есть один нюанс

Если есть возможность, сними видос про Sql уязвимости

оговорился, не серилизация или фильтрация инпута html, а санитайзинг санитайзинг так же применяется для защиты от SQL инъекций

неделю назад увидел на сайте с сериалами комментарий с тегами я тогда подумал еще, неужели он пытался запустить код введя свои теги в DOM?

Основа основ -- любой пользовательский ввод нужно обрабатывать ВСЕГДА, раньше о такой банальщине даже речь не шла... Эх Крастер как же ты был прав, зашкварная деградация

Очень познавательно Пожалуй Подпишусь на канал

Помню какое-то время был прям шквал подобных атак в вк. Взламывали страницы таким образом. Типа пишет тебе в вк красоткка какая-нибудь "Привет! Ты мне понравился и тд и тп. Напиши мне, только не на этот аккаунт а на другой" и ссылку кидает. Если перешел по ссылке, тебя взломали

автору респект! однако ломать CTF лабу это всё равно что иметь отношения с искусственной женщиной 🙂в смысле на практике злоумышленник всё чаще и чаще в наше время встретит WAF, обход которого отдельная интересная тема.

Брат вы сделали всё правильно надо было сперва " закрыт и сначало открыть его alert("xss") вот тогда она сработает НА вопрос какой исходной код будет "alert("xss")

го видос по обходу hsts

Кравчик. Лайк и подписка. Очень доступно всё объяснил и показал. Какой же java script плохой ....

alert("xss")

Уфффф

Случайно на канале оказался. Для нубов доходчиво рассказано про xss. Я так понимаю для защиты от них подойдут браузерные расширения , (напр. No script)?

Можно легко обойти XSS Payload, надо просто заменить символы , на ASCII код < >

Них я не понял, но очень интересно!

Вероятность встретить такое в 2024 стремиться к нулю...

Хорошо стелешь

А против них 🤔что применять?

На удивление даже в 2024 такое встречается. Во-первых, всякие самописные сайтики, в частности в сфере мультиплеерных игр, админы серверов хотят показать список игроков и зачастую не очищают ники. Во-вторых, даже когда используется фреймворк, разработчику хочется покрасить часть текста (в основном бывает в сообщениях в чате), добавить смайлики и т.д., и он сам отключает очистку (скажем v-html в vue и т.д.) Да что греха таить. Однажды и у себя в коде такое словил

Только на 10 минуте я заметил, что ты сидишь не на диване 😮

Я конечно не хейтер (шутка), но мне кажется это уже не есть проблемой. Я в вебдеве уже лет как 8, но ещё в 16м-18м годах уже было зашкварно не обрабатывать xss. 15 лет назад это может и было проблемой, но сейчас это вроде как по умолчанию на любых курсах по вебдеву (надеюсь 😅). С другой же стороны для простых пользователей - это бы хорошо знать, но я думаю что не в таком формате стоит подавать проблему xss. Но в любом случае видео очень даже😮

А откуда вставочка на 0:02 ?

> Есть везде. Понятно, чел до сих пор не научился санетизировать ввод и вывод... А на дворе шёл 2024 век...

хорошо объяснил "сорта XSS" ! я про них знал на практике, но не различал в чёткой терминологии, ну разве что хранимый от переданного отличал т.к. "интуитивно" это понятно.

презентер - Бро из Литвы ?

Не легче просто удалять лишний html, или вообще рендерить все как просто текст?

XSS это подтип атаки на веб-системы, а не уязвимость, ну это если быть точным

Жаль, что как и SQL инъекции, которые практически то же самое, такую уязвимость зачастую не удастся провернуть и на 20 летнем сайте написаном на голом PHP 99% только начавших учиться разработке не знают что такое SQL Injectiion и XSS, как и то, что всю работу по закрытию таких уязвимостей за них уже делает их фреймворк

не знал что у галкина есть ютуб канал

Да вот только жс не выдает сессию из куков уже лет 20

Есть ли рабочий иструмент позволяющий автоматически аншортить линки?

CORS, не?

А как же 272 УК? Гипотетически, будучи доброжелателем, тебе могут сказать не спасибо, а написать, мол на тебя уже пишется заява))

как задавать вопросы в тг, если комменты закрыты?(

Воно ж не тільки так може використовуватись. Там багато фреймворків для роботи

back to the 90x hacking

как взломать пентагон c помощю калькульятора?

Ты про cors умолчал бо видео было бы не таким сильным? Ну и селф xxs это зачастую имеют ввиду xxs на страницах доступных только пользователю и не доступным извне. А ввести код в консоль это не xss. Ты прав они много где есть но что толку с них на ноунейм сайтах.

Старая тема. Очень старая. Я еще в 2006 году этим баловался. Тогда не было поголовно у всех защиты и в целом все было проще.

Гилфойл?

А как могут взломать вк?

Большинство сайтов с беком на питоне, просто не даст тебе исполнить код, если ты специально в коде шаблонизатора не напишешь unsafe, insecure

Почему не в МИУ броу

Да лааааааадно????

На любой фреймворк все показанные тут уязвимости не действуют

лол вы ток что узнали, я ещё 3 месяца назад таким образом скидывал в ютуб в коменты картинки видео и игры.(код подгружает с моего сервера и отображает) В приложении не работает.