Путь nodejs 7 модулей

Node.js XSS: От Reflected до CSP Bypass

Полный курс по Cross-Site Scripting в Node.js/Express. Изучите все типы XSS -- reflected, stored, DOM-based, attribute injection и CSP bypass. Практикуйтесь на 5 лабах с уникальными методами защиты, освойте defense-in-depth и автоматизацию обнаружения через SAST, DAST, CI/CD.

Модуль 1: Введение в XSS и безопасность браузера

Модель безопасности браузера, контексты JS, типы XSS в Node.js

0/2

1. XSS и модель безопасности браузера
Pro
2. Тест: Основы XSS
Pro

Модуль 2: Reflected XSS

Отражённый XSS через res.send() и шаблоны без экранирования

0/4

1. Reflected XSS: res.send() и шаблоны
Pro
2. Защита: Nunjucks autoescaping
Pro
3. Тест: Reflected XSS
Pro
EXP FIX
4. Практика: Reflected XSS
easy
Pro

Модуль 3: Stored XSS

Хранимый XSS через комментарии и профили

0/4

1. Stored XSS: сохранённые payload-ы
Pro
2. Защита: DOMPurify и xss npm
Pro
3. Тест: Stored XSS
Pro
EXP FIX
4. Практика: Stored XSS
medium
Pro

Модуль 4: DOM-based XSS

Клиентский XSS через sources и sinks

0/4

1. DOM-based XSS: источники и приёмники
Pro
2. Защита: Content Security Policy
Pro
3. Тест: DOM-based XSS
Pro
EXP FIX
4. Практика: DOM-based XSS
medium
Pro

Модуль 5: XSS в атрибутах HTML

Инъекция через href, onclick и другие атрибуты

0/4

1. XSS в контексте атрибутов
Pro
2. Защита: Allowlist URL-схем
Pro
3. Тест: Attribute XSS
Pro
EXP FIX
4. Практика: Attribute XSS
medium
Pro

Модуль 6: CSP и Nonce-based защита

Content Security Policy, nonce-based подход, обход CSP

0/4

1. CSP и Nonce: продвинутая защита
Pro
2. Защита: crypto.randomBytes nonce
Pro
3. Тест: CSP и Nonce
Pro
EXP FIX
4. Практика: CSP Nonce
easy
Pro

Модуль 7: Итоговый обзор, Defense-in-Depth и автоматизация

Сравнение типов XSS, многослойная защита, SAST/DAST/CI-CD pipeline

0/4

1. Сравнение типов XSS и реальные CVE
Pro
2. Defense-in-Depth: многослойная защита
Pro
3. Автоматизация: SAST, DAST, CI/CD
Pro
4. Финальный тест: XSS в Node.js
Pro