Путь php 6 модулей

PHP XSS: Reflected, Stored, DOM и Attribute Context

Полный курс по межсайтовому скриптингу (XSS) в PHP Native. Разберём почему PHP не имеет автоматического экранирования вывода, изучим reflected, stored, DOM-based и attribute-контекст XSS, защиту через htmlspecialchars(), HTMLPurifier, CSP и FILTER_VALIDATE_URL.

Модуль 1: Введение в XSS в PHP

Почему PHP не имеет автоматического экранирования вывода, echo $_GET и типы XSS.

0/3

1. XSS в PHP: отсутствие автоэкранирования
Pro
2. Обзор методов защиты от XSS
Pro
3. Тест: Введение в XSS
Pro

Модуль 2: Reflected XSS

Отражённый XSS через echo $_GET, защита htmlspecialchars().

0/4

1. Reflected XSS: echo $_GET напрямую
Pro
2. Защита: htmlspecialchars()
Pro
3. Тест: Reflected XSS
Pro
EXP FIX
4. Практика: Reflected XSS
medium
Pro

Модуль 3: Stored XSS

Хранимый XSS через комментарии и профили, защита HTMLPurifier.

0/4

1. Stored XSS: сохранённый вредоносный код
Pro
2. Защита: HTMLPurifier
Pro
3. Тест: Stored XSS
Pro
EXP FIX
4. Практика: Stored XSS
medium
Pro

Модуль 4: DOM-based XSS

Клиентские sources и sinks, защита через CSP.

0/4

1. DOM-based XSS: клиентская сторона
Pro
2. Защита: Content Security Policy
Pro
3. Тест: DOM-based XSS
Pro
EXP FIX
4. Практика: DOM-based XSS
medium
Pro

Модуль 5: Attribute Context XSS

XSS через HTML-атрибуты и javascript: URI, защита FILTER_VALIDATE_URL.

0/4

1. XSS в контексте HTML-атрибутов
Pro
2. Защита: FILTER_VALIDATE_URL + scheme allowlist
Pro
3. Тест: Attribute Context XSS
Pro
EXP FIX
4. Практика: Attribute Context XSS
medium
Pro

Модуль 6: Итоговый обзор

Сравнение контекстов XSS, PHP-специфичные особенности, реальные CVE, чеклист.

0/4

1. Итоговый обзор: XSS в PHP
Pro
2. Defense-in-Depth: многослойная защита от XSS
Pro
3. Автоматизация обнаружения: SAST, DAST, CSP-reporting
Pro
4. Финальный тест: XSS в PHP
Pro