Всем привет. В этом видео я бы хотел рассказать и показать такую популярную уязвимость, как XSS. Приятного просмотра! Тг: t.me/mulargram
Пікірлер: 160
@CaiN8054 ай бұрын
Очень круто, что появился такой замечательный канал. На русском ютубе мало качественного контента по кибербезу. А тут не только полезная информация, но и грамотная подача, красивый голос и приятный автор канала. Идеально!
@user-zm9gz1ot4w4 ай бұрын
И добавить нечего. Поддерживаю на 💯.
@kult_of_manydick4 ай бұрын
поставь яндекс браузер
@mathnightmare4 ай бұрын
А какие есть ещё каналы, если не секрет?)
@user-bn4kd3 ай бұрын
@@mathnightmareи меня пните если есть аналоги, хочется больше контента
@-PIL1GRIM-4 ай бұрын
смотрит 1000, вникает 100, делают 10. лайк + подписка!
@anotherpain91204 ай бұрын
А что делает 5?
@yoshimitsu77233 ай бұрын
в тюрьме сидят. На каждую хитрую жопу найдется болт с левой резьбой
@REDGE13373 ай бұрын
@@yoshimitsu7723по поводу тюрьмы кста: у нас хакеры не сидят. Вообще. Им сразу предлагают на гос-во работать, так сказать предложение от которого невозможно отказаться. На странице розыска фбр половина лиц это русские хакеры, которые чиллят в Москве, ведут инсту и вообще никак не скрываются (кейс Богачева, например). Так что нет, реальнее получить срок за репост, чем за киберкрайм.
@st7dot4 ай бұрын
Огонь 🔥 Благодарю за труд, очень интересно!!!! Спасибо!!!!
@triggerit29382 ай бұрын
Очень хорошо поставлена речь, из-за чего материал воспринимается очень легко. Спасибо!
@leabrun3 ай бұрын
Чудесный видеоролик! Большое спасибо!🖐
@westleynice20883 ай бұрын
Спасибо за контент, отличная подача и доступный материал, добра тебе, мужик.
@michaelkamko4 ай бұрын
Бро, ты ОЧЕНЬ крут! Жги еще!)) Спасибо!!!
@fiatex3 ай бұрын
Очень полезная информация, благодарю 🙏
@DarkLinux-un1pd3 ай бұрын
чел хорошо подал материал и приятная атмосфера будем надеятся что он резко не исчезнет как некоторые
@diaskappassov3 ай бұрын
Спасибо, до этого не было конечного представления как это работает, а оказывается все так просто
@GeorgiJakovlev4 ай бұрын
Спасибо, за такой интересный контент!!!🔥🔥🔥
@Atikan374 ай бұрын
Спасибо большое за видос!
@antoha94864 ай бұрын
Спасибо автору за труд.
@MrTaramka3 ай бұрын
Спасибо, всё грамотно и без понтов! :)
@_test_testАй бұрын
годно. знал и читал про xss, но на примерах сильно интереснее
@nazarchik18054 ай бұрын
Информативно! Спасибо
@_x_light4 ай бұрын
Ура! 5-е видео (:
@vitaly52093 ай бұрын
Потрясающе, экстремально интересно
@feepdie4 ай бұрын
Всё просто замечательно! Я с нетерпением ждал выхода этого видео. 😊 Было бы увлекательно узнать, как именно осуществляется защита и как можно реализовать данную меру безопасности.
@dzhoniso3 ай бұрын
Наконец то нашёл нормальный видос по инъекциям XSS, спасибо
@mr.hellishrunner60864 ай бұрын
Если честно, это было супер полезно
@zvd16603 ай бұрын
Очень полезно видео, спасибо большое!
@KlGleb4 ай бұрын
Я все ждал, когда уязвимость будет продемонстрирована на каких-нибудь реальных сайтах -- хотя бы на не очень известных, потому что заявление о том, что такие уязвимости есть на известных и крупных сайтах, слишком уж смелое. Такое возможно только в очень редких случаях, если разработчик слишком уж сильно косякнул. В то же время в ролике мало внимания уделено тому, как избежать этой уязвимости при разработке. Плюс видео -- уязвимость хорошо описана и наглядно показана суть работы, за это автору респект
@Mulabarrr4 ай бұрын
На реальных проектах показывать запрещено на законодательном уровне, если нет согласия. А согласия никто не даст. Если интересно посмотреть какие XSS были найдены на других сайтах - можно почитать репорты на HackerOne например
@r1seup1274 ай бұрын
Большинство реальных проектов уже используют защиту, если раньше ее не было, сейчас используют защиту разного рода, от нджинкса прослойку на введённые данные, так бд, так фронтовые валидации, так шаблонизаторы. Если же защиты нет, вполне вероятно, что ничего из этого не используют, либо отключили специально.
@user-fg3ed2gz7y3 ай бұрын
Просто признай что заголовок кликбейт не нужно оправдываться, ты не найдешь на большинстве популярных сайтах xss,
@sergeysemenov36743 ай бұрын
Единственная проблема хсс - отсутствие проверки инпута
@kenzo138715 күн бұрын
да, ведь любой js framework автоматически устраняет xss уязвимости под капотом
@user-cc1xo4dl8r2 ай бұрын
Хорошие объяснение, ждем еще
@AutomationCraft3 ай бұрын
круто! успехов в развитии канала!
@littlepip59864 ай бұрын
Парень, видос шикарный, так держать, отличное объяснение, отличный пример, подписка лайк.
@alexstepanchhuk6833 ай бұрын
Инфа 💯 полезности! Спасибо
@wtsdino10383 ай бұрын
Бро лайк подписка однозначно все развернуто и интересно подача инфы на высшем уровне успехов тебе в этом :)))
@user-ox4yl6gu3u3 ай бұрын
Продолжай в том же духе. Очень крутой видос! Сразу подписался.
@konstantinchernyaev30114 ай бұрын
На самом деле эта уязвимость часто встречается, но не так очевидно, как показано в видео. То, что она есть везде это не так, но то, что она есть на многих сайтах - это так. Чтобы от нее защититься нужно экранировать любой пользовательский ввод. Это часто забывается так как сначала делается, например, отображение данных, а через пол года получение или наоборот.
@PRO__VCE4 ай бұрын
Да ты сокровище 🔥
@megaprefiks4 ай бұрын
Так все хорошо объяснил.
@elevaalex12253 ай бұрын
Интересное видео! Автору респект. Давно интересует тема инфо безопасности и киберзащита. Но изучать всерьез все времени нет.
@software92563 ай бұрын
Бро ток не останавливайся!🎉🎉🎉🎉🎉
@andrewdefould14532 ай бұрын
Очень хорошо обьяснил!!! Можно такое же видео по CORS и CSP?))
@eto_sedewl3203 ай бұрын
не знаю, с каких времен я превратился в человека, который кроме лайков может ставить еще и дизлайки на ютубе на плохие ролики(не вам), и писать подобные комментарии, но видос просто прекрасный, плюс в добавок и полезный, поэтому желаю вам всего хорошего и советую распространить данный видеоролик для как можно больших людей, чтобы они хотя бы осознавали существование таких вещей...
@maleriak4124 ай бұрын
Спасибо пупсик ❤
@Random-gz1cu3 ай бұрын
Этой атаке 500 лет, и от нее давно научились защищаться кто угодно, даже лохозавры со скиллбоксов и гикбрейнсов. Ща уже самый простенький сайт на юкозе или еще каком-нибудь говне такой атакой не вскроешь толком. Ща уже днем с огнем не сыщешь реальный сайт, где каждое поле ввода не экранируется. Если лохозавр на фронте это забыл запилить, то какой-нибудь пхпшник полюбас хтмлспешалчарс пихнул предусмотрительно, или наоборот.
@dmitrygrishin64973 ай бұрын
В декабре пробовал, с десяток сайтов получилось набрать с такой проблемой
@Random-gz1cu3 ай бұрын
@@dmitrygrishin6497 И чем помогла XSS на этих сайтах? И пример сайта тогда в студию
@bread_tyan3 ай бұрын
Если со скиллбоксов и гикбрейнсов идут одни лохозавры, то где тогда обучаться на КБ? Можете подсказать?
@Random-gz1cu3 ай бұрын
@@bread_tyan Самому дома на ютубах и прочих ресурсах полезных, очевидно же
@pavelsergeev52823 ай бұрын
Спасибо. Теперь бы ещё про то, что могут сделать вредоносные скрипты по-подробнее
@liorkilunov38134 ай бұрын
Я ждал этого момента
@user-zf5vn2lw8b4 ай бұрын
на любом сайте - который посещает более тысячи человек - эта чушь давно не актуальна. Видео сделано для набирания подписчиков - которые по названию ролика - будут думать - что здесь то их научат....
@azimoff69364 ай бұрын
@@user-zf5vn2lw8bактуальна...
@liorkilunov38133 ай бұрын
@@user-zf5vn2lw8bя имел ввиду что я ждал нового ролика я давно уже занимаюсь в этой области повер я знаю но всё ешё есть много xss уезвимостей я сам иногда прибигал к xss
@mr7123 ай бұрын
@@user-zf5vn2lw8bxss с мутацией будет актуально всегда, главное знать как конкретно написать код, чтоб он пройдя через защиту сайта преобразовался во вредонос
@liorkilunov38133 ай бұрын
@@user-zf5vn2lw8b1 я ждал ролика от этого блогера по потому что мне нравится его контент. 2 я не раз видел xss уезвимости на разных сайтах даже на сегодняшний день их можно увидеть на bug bounty. 3 в интернете есть много кликбэйтов и подобных описаний роликов на эту тему и не только так что это в полне обычное дело. 4 в ролике он отлично объяснил тему даже получше чем у некоторых блогеров с 1-2 mil на канале. 5 почти каждый ролик которые загружен на youtube сделан для набора сабов
@arsa9463 ай бұрын
Вставка скрипта в комментарии - это чисто криворукость программиста и самой технологии которую он использует. Если строго задать в теге что должен быть текст при ответе сервера, то никак не вставить потом тег скрипта.
@uegamedev4 ай бұрын
Любой сайт, который написан не третиклассником экранирует весь вводф. Так себе кликбейт, если честно.
@dmitrygrishin64973 ай бұрын
К сожалению, большая часть сайтов написано людьми по развитию третьеклассниками
@user-zb5qk3ns3i4 ай бұрын
Так ну теперь методы сериализации и десериализации нужны. За видео лайк!
@jamesnelson-jk5nb3 ай бұрын
Хорошая подача
@Serakez3 ай бұрын
Сейчас бы в 2024 году слушать про XSS :)
@ckazakovАй бұрын
Вроде сейчас все сайты на фреймворках пишутся, в том же laravel допустим есть защита от любого рода xss, sql injections, разве нет?
@user-gw8ut4cq8j3 ай бұрын
да такое встречается, но еще с незапамятных времен, лет 15 назад, бесплатные движки, не будем о других багах) в базовых настройках внедряли фильтры и давольно неплохие, можно было вообще все запретить в джумле, друпале, вп был попроше) там в принципе беда была такая, да и наверное есть, давно не пользуюсь, в плагинах к движку. помню была какая то галлерея, на вп или джумлу, точно не помню, так там нехитрыми манипуляциями можно было вообще через нее получить доступ к каталогу хоста) и не важно, что расширения к не имеют отношения к мультимадиа) хоть htaccess правь) причем сама галерея его открывала без вопросов, позволяла редактировать и сохранять))
@Timedecay4 ай бұрын
Расскажи пожалуйста что за sso и что за практическая уязвимость перед sso, из того что я читал, выходило что это глупая теоретическая уязвимость, но не практическая
@Non-fiction_004 ай бұрын
По монтажу видео. Есть куда расти ) Названия терминов надо дублировать на видео. Тряска - лишнее, либо уменьшить амплитуду. Ну и много так по мелочи: звук, голос, ударения в предложениях, паузы и т.п. По контенту: делай шортсы с введением в проблематику, а в закрепе или в описании (что лучше, тк там ссылки нормально работают, в отличие от комментария; про "перевод" -- знаю, но это работает через раз, поверь). Как говорится «делайте это упражнение по утрам и Ваш 1 млн зрителей скажут спасибо».
@mqtrade57433 ай бұрын
Наверное есть безопасные фреймворки, типа Spring для джавы. Не сталкивался с необходимостью обрабатывать инпут, поскольку фреймворк под капотом делает всю эту рутину
@wusikijeronii45103 ай бұрын
А можно вопрос про xss. Я жто обсуждал со знакомыми и мы не пришли к какому то консенсусу. Ровно как и Вы мои знакомые топят что ответсвенность должна лежать на разработчике. Но с моей точки зрения, к примеру, фронтенд должен делать именно то для чего он предназначен - рисковать UI. Для безопасности на уровне запросов это должно фильтроваться бэкендом. На уровне контента веб сервером. Для этого и есть WAF/ModSecurity. Почему я не прав?
@UraniumAgent3 ай бұрын
Помню даже ВКонтакте нашли уязвимость XSS (Reflected). И ещё даже в сайтах Минобороны США
@rodion_koto3 ай бұрын
Скриптуйте все, принимайте только то что нужно принимать, фильтруйте input пользователя, и будет вам счастье. Согласен что тут показаны простые примеры, еслли сайт более комплексный с большим количеством принимаемой информации, и всяких запросов, то реализовать такую защиту сложнее, в таком случае создавайте функции которые будут заниматься санитайзингом Input от пользователя, и обворачивайте в них все input. По поводу XSS в ссылке, гет параметр search в данном случае такой же принимаемый параметр который также должен быть отфильтрован. Помните правило backend - никогда не доверяй принимаемой информации.
@rodion_koto3 ай бұрын
Ну а если про видео, молодец, легко и понятно для всех объяснил что такое xss
@neo-tap6763 ай бұрын
очень интересное видео, но есть один нюанс
@HastaQwert4 ай бұрын
Если есть возможность, сними видос про Sql уязвимости
@snatvb3 ай бұрын
оговорился, не серилизация или фильтрация инпута html, а санитайзинг санитайзинг так же применяется для защиты от SQL инъекций
@klrl30594 ай бұрын
неделю назад увидел на сайте с сериалами комментарий с тегами я тогда подумал еще, неужели он пытался запустить код введя свои теги в DOM?
@PHP_Architect4 ай бұрын
Основа основ -- любой пользовательский ввод нужно обрабатывать ВСЕГДА, раньше о такой банальщине даже речь не шла... Эх Крастер как же ты был прав, зашкварная деградация
@nikolazzzer70873 ай бұрын
Очень познавательно Пожалуй Подпишусь на канал
@elevaalex12253 ай бұрын
Помню какое-то время был прям шквал подобных атак в вк. Взламывали страницы таким образом. Типа пишет тебе в вк красоткка какая-нибудь "Привет! Ты мне понравился и тд и тп. Напиши мне, только не на этот аккаунт а на другой" и ссылку кидает. Если перешел по ссылке, тебя взломали
@apristen4 ай бұрын
автору респект! однако ломать CTF лабу это всё равно что иметь отношения с искусственной женщиной 🙂в смысле на практике злоумышленник всё чаще и чаще в наше время встретит WAF, обход которого отдельная интересная тема.
@Broroyal-xq5wqАй бұрын
Брат вы сделали всё правильно надо было сперва " закрыт и сначало открыть его alert("xss") вот тогда она сработает НА вопрос какой исходной код будет "alert("xss")
@user-qg5uh6vf1v4 ай бұрын
го видос по обходу hsts
@bottakbotnolen8823 ай бұрын
Кравчик. Лайк и подписка. Очень доступно всё объяснил и показал. Какой же java script плохой ....
@imnotacompiler3 ай бұрын
alert("xss")
@DarkApexNet4 ай бұрын
Уфффф
@fruhlingfest3 ай бұрын
Случайно на канале оказался. Для нубов доходчиво рассказано про xss. Я так понимаю для защиты от них подойдут браузерные расширения , (напр. No script)?
@Mulabarrr3 ай бұрын
Да, отключение js на сайте отрубает возможность выполнять скрипты на вашей машине
@mrroblick4 ай бұрын
Можно легко обойти XSS Payload, надо просто заменить символы , на ASCII код < >
@user-rj4zb2co7l3 ай бұрын
и обработчик JS проигнорирует этот код 🤡
@mrroblick3 ай бұрын
@@user-rj4zb2co7l За что выставляешь клоуном? Я говорю чистую правду. И ты знал что есть переменные? Первая переменная оригинальный HTML, а другая переменная это комментарий вредный, ты у комментария просто заменяешь символы на ASCII код и всё, объединяем и готово! Javascript код работает и комментарии страшные можно посмотреть без вреда клиента.
@sleepyNovember_project3 ай бұрын
@@mrroblick А в HTML это (<) ASCII кодом называется? Я просто с XML/HTML не особо знаком, Видел такие штуки в XML ресурсах .apk-шек Позже, всё же планирую знакомиться с XML, это полезное знание
@Biz_Buz4 ай бұрын
Них я не понял, но очень интересно!
@daenur5484 ай бұрын
Вероятность встретить такое в 2024 стремиться к нулю...
@shadymindyt4 ай бұрын
С помощью сканера я нашел из 300сайтов на 20 сайтах xss
@ivsetut2 ай бұрын
Хорошо стелешь
@mikaelgevorgyan45213 ай бұрын
А против них 🤔что применять?
@XTANCE4 ай бұрын
На удивление даже в 2024 такое встречается. Во-первых, всякие самописные сайтики, в частности в сфере мультиплеерных игр, админы серверов хотят показать список игроков и зачастую не очищают ники. Во-вторых, даже когда используется фреймворк, разработчику хочется покрасить часть текста (в основном бывает в сообщениях в чате), добавить смайлики и т.д., и он сам отключает очистку (скажем v-html в vue и т.д.) Да что греха таить. Однажды и у себя в коде такое словил
@MrMiha3364 ай бұрын
Только на 10 минуте я заметил, что ты сидишь не на диване 😮
@margsmiloo55114 ай бұрын
Я конечно не хейтер (шутка), но мне кажется это уже не есть проблемой. Я в вебдеве уже лет как 8, но ещё в 16м-18м годах уже было зашкварно не обрабатывать xss. 15 лет назад это может и было проблемой, но сейчас это вроде как по умолчанию на любых курсах по вебдеву (надеюсь 😅). С другой же стороны для простых пользователей - это бы хорошо знать, но я думаю что не в таком формате стоит подавать проблему xss. Но в любом случае видео очень даже😮
@sleepyNovember_project3 ай бұрын
А откуда вставочка на 0:02 ?
@rumisbadforyou96703 ай бұрын
> Есть везде. Понятно, чел до сих пор не научился санетизировать ввод и вывод... А на дворе шёл 2024 век...
@apristen4 ай бұрын
хорошо объяснил "сорта XSS" ! я про них знал на практике, но не различал в чёткой терминологии, ну разве что хранимый от переданного отличал т.к. "интуитивно" это понятно.
@dmitryprokopiev20413 ай бұрын
презентер - Бро из Литвы ?
@tymurkr4 ай бұрын
Не легче просто удалять лишний html, или вообще рендерить все как просто текст?
@youniton46393 ай бұрын
На представленных в видео сайтах не было таких алгоритмов защиты
@tymurkr3 ай бұрын
@@youniton4639 ну, это возможно только на сайтах, которые сделаны индусами в трущобах.
@gachimadness4 ай бұрын
XSS это подтип атаки на веб-системы, а не уязвимость, ну это если быть точным
@Serakez3 ай бұрын
Это уязвимость если игнорируется банальный контроль типа вводимых данных на фронтенде и бэкенде.
@adexitum3 ай бұрын
Жаль, что как и SQL инъекции, которые практически то же самое, такую уязвимость зачастую не удастся провернуть и на 20 летнем сайте написаном на голом PHP 99% только начавших учиться разработке не знают что такое SQL Injectiion и XSS, как и то, что всю работу по закрытию таких уязвимостей за них уже делает их фреймворк
@arkadytarasov3 ай бұрын
не знал что у галкина есть ютуб канал
@user-zi8zw3yf2t3 ай бұрын
Да вот только жс не выдает сессию из куков уже лет 20
@crombrugger4 ай бұрын
Есть ли рабочий иструмент позволяющий автоматически аншортить линки?
@Mulabarrr4 ай бұрын
Много ресурсов в интернете. Можешь просто вбить “unshort url” и тебе выкинет много сайтов
@crombrugger4 ай бұрын
@@MulabarrrЯ писал - автоматически - то есть например, при наведении курсора на линк
@MAGNet19113 ай бұрын
CORS, не?
@Shamshurin_Alexander4 ай бұрын
А как же 272 УК? Гипотетически, будучи доброжелателем, тебе могут сказать не спасибо, а написать, мол на тебя уже пишется заява))
@Mulabarrr4 ай бұрын
Ну тогда только баг баунти программы. С ними проблем никаких
@danny_kg3 ай бұрын
как задавать вопросы в тг, если комменты закрыты?(
@Mulabarrr3 ай бұрын
Есть чатик, он в описании канала)
@alexandrd74284 ай бұрын
Воно ж не тільки так може використовуватись. Там багато фреймворків для роботи
@WapUAs3 ай бұрын
back to the 90x hacking
@user-gt8tg2if3b4 ай бұрын
как взломать пентагон c помощю калькульятора?
@aleksandr_anp4 ай бұрын
Попробуйте поделить на ноль, всегда помогало))
@AntonioKul-kd4nn4 ай бұрын
Ты про cors умолчал бо видео было бы не таким сильным? Ну и селф xxs это зачастую имеют ввиду xxs на страницах доступных только пользователю и не доступным извне. А ввести код в консоль это не xss. Ты прав они много где есть но что толку с них на ноунейм сайтах.
@redfox71933 ай бұрын
Старая тема. Очень старая. Я еще в 2006 году этим баловался. Тогда не было поголовно у всех защиты и в целом все было проще.
@aryanshahr4 ай бұрын
Гилфойл?
@fiatex3 ай бұрын
😁
@user-wp9or3wm4e2 ай бұрын
А как могут взломать вк?
@r1seup1274 ай бұрын
Большинство сайтов с беком на питоне, просто не даст тебе исполнить код, если ты специально в коде шаблонизатора не напишешь unsafe, insecure
@user-ks2sm1nf6n3 ай бұрын
Почему не в МИУ броу
@lookintoughfeelintough6814 ай бұрын
Да лааааааадно????
@loa23954 ай бұрын
На любой фреймворк все показанные тут уязвимости не действуют
@Farmione3 ай бұрын
лол вы ток что узнали, я ещё 3 месяца назад таким образом скидывал в ютуб в коменты картинки видео и игры.(код подгружает с моего сервера и отображает) В приложении не работает.
@mmds.3 ай бұрын
интересно глянуть, покажи где на твои комменты поглядеть можно))
@Farmione3 ай бұрын
@@mmds. Уже всё уже ты опоздал, Работало ток в веб версии и уже пофиксили, но там принцип тот же вписываешь код с загрузкой картинки по ссылке и всё. Где-то был ролик по урокам где показывают наглядно поищи в поиске.