Все пути
Путь golang 7 модулей

Go XSS Security: От основ до CSP

Глубокое погружение в Cross-Site Scripting (XSS) в Go-приложениях. Вы научитесь находить и эксплуатировать Reflected, Stored и DOM-based XSS, а также освоите современные методы защиты: от html/template до Content Security Policy.

01

Модуль 1: Введение в XSS и Browser Security

Разбираемся с архитектурой безопасности браузера и тем, как JavaScript может стать оружием в руках хакера.

0/4
  • 1. Архитектура браузерной безопасности
    Pro
  • 2. JavaScript в контексте страницы
    Pro
  • 3. Типы XSS: Обзор
    Pro
  • 4. Тест: Основы
    Pro
02

Модуль 2: Reflected XSS

Изучаем самый распространенный тип XSS и то, как Go помогает (или нет) защититься от него.

0/5
  • 1. Механика Reflected XSS
    Pro
  • 2. Go html/template и автоэкранирование
    Pro
  • 3. Защита: HTTPOnly и заголовки
    Pro
  • 4. Тест: Reflected XSS
    Pro
  • EXP FIX
    5. Практика: Reflected XSS в поиске
    easy
    Pro
03

Модуль 3: Stored XSS

Самый опасный тип XSS: когда полезная нагрузка сохраняется в базе данных.

0/5
  • 1. Механика Stored XSS
    Pro
  • 2. template.HTML и safeHTML — ловушки
    Pro
  • 3. Защита: Серверная санитизация
    Pro
  • 4. Тест: Stored XSS
    Pro
  • EXP FIX
    5. Практика: Stored XSS в комментариях
    medium
    Pro
04

Модуль 4: DOM-based XSS (теория)

XSS, который происходит полностью на стороне клиента, без участия сервера.

0/4
  • 1. Sources и Sinks
    Pro
  • 2. Защита от DOM XSS
    Pro
  • 4. Тест: DOM-based XSS
    Pro
  • EXP FIX
    5. Практика: DOM-based XSS через фрагмент
    medium
    Pro
05

Модуль 5: Content Security Policy (CSP)

Учимся настраивать самый мощный современный рубеж защиты от XSS.

0/5
  • 1. CSP: Настройка и директивы
    Pro
  • 2. Продвинутый CSP: Nonce и Strict-Dynamic
    Pro
  • 3. Комплексная защита заголовками
    Pro
  • 4. Тест: CSP и заголовки
    Pro
  • EXP FIX
    5. Практика: Обход CSP через Nonce
    hard
    Pro
06

Модуль 6: Attribute Context XSS

XSS через атрибуты HTML-элементов — href, event handlers и data-атрибуты.

0/4
  • 1. Векторы XSS через атрибуты
    Pro
  • 2. Context-Aware Escaping и защита
    Pro
  • 3. Тест — Attribute Context XSS
    Pro
  • EXP FIX
    4. Практика: Attribute Context XSS
    medium
    Pro
07

Модуль 7: Итоговый обзор — Комплексная защита от XSS

Финальный модуль курса — сравнение всех методов защиты, реальные CVE и чеклист для code review.

0/6
  • 1. Сравнительный анализ методов защиты от XSS
    Pro
  • 2. Реальные CVE и инциденты с XSS
    Pro
  • 3. Чеклист для Code Review
    Pro
  • 4. Автоматическое обнаружение XSS в CI/CD
    Pro
  • 5. Тест — DevSecOps и автоматическое обнаружение XSS
    Pro
  • 6. Финальный тест — XSS Security
    Pro
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы — support@hackandfix.ru