امن افزار رایکا

درباره کتاب SANS SEC542.4 XSS, SSRF, and XXE:

این بخش از دوره پیشرفته SEC542 مؤسسه SANS سه حوزه مهم آسیب‌پذیری وب، یعنی Cross-Site Scripting (XSS)، Server-Side Request Forgery (SSRF) و XML External Entities (XXE) را با روش‌های کشف، بهره‌برداری و مقابله بررسی می‌کند. محتوا شامل مبانی تئوریک، بررسی ساختار DOM، مفاهیم AJAX و APIهای REST/SOAP، و تمرین‌های عملی با ابزارهایی مانند BeEF و Burp Suite است تا مهارت‌های تست نفوذ را در این زمینه‌ها تقویت کند.

خلاصه کتاب SANS SEC542.4 XSS, SSRF, and XXE:

کتاب با توضیح Document Object Model و نقش آن در آسیب‌پذیری‌های سمت کلاینت آغاز شده و سپس به معرفی Cross-Site Scripting و انواع آن می‌پردازد. مباحث شامل تزریق HTML، تأثیرات XSS بر نشست‌ها، جلب اطلاعات کاربر و بهره‌برداری پیشرفته با ابزار BeEF است. طبقه‌بندی روش‌های XSS مانند Stored، Reflected و DOM-based همراه با تمرین‌های عملی و راهکارهای پیشگیری از این حملات ارائه می‌شود. بخش دوم به آسیب‌پذیری‌های SSRF و XXE اختصاص دارد که مستقیماً با سرور و پردازش داده سروکار دارند. ابتدا مفاهیم SSRF، مسیرهای حمله و مثال‌های واقعی بررسی می‌شود. سپس آسیب‌پذیری XXE با جزئیات فنی، روش‌های تزریق XML مخرب و تأثیر آن بر افشای اطلاعات و انجام حملات DoS تحلیل می‌گردد. تمرین‌های عملی در هر بخش با سناریوهای REST، SOAP و پردازش داده، مهارت شناسایی و اصلاح این ضعف‌ها را تقویت می‌کند.