60 - DOM-Based XSS: Identifying JavaScript Input Sources | קורס סייבר התקפי 2026

אבי סביליה - מדריך סייבר 858 צפיות 18/01/2026
פתח ב-YouTube

דרג סרטון זה

התחבר כדי לדרג

תיאור

היי חברים, ברוכים הבאים לערוץ. אנחנו ממשיכים ברצף שיעורים בנושא Cross Site Scripting (XSS), והפעם אנחנו מתמקדים בשלב קריטי: איך לאתר נקודות קלט (Sources) בקוד JavaScript שיכולות להזרים תוכן אל Sinks בתוך ה-DOM — ובכך לייצר תשתית ל-DOM Based XSS. 🧰 כלים וטכניקות שתלמדו בסרטון אנחנו נבין את ההבדל בין Stored/Reflected XSS לבין DOM Based XSS, ונעבוד בגישה מקצועית של Sources → Flow → Sink (למשל Sink נפוץ כמו innerHTML). לאורך הדוגמאות נזהה מקורות קלט נפוצים שקוד צד לקוח יודע לקרוא מהם, ושיכולים להגיע ל-DOM: Form Fields (input/textarea/select/checkbox), location.search / location.hash / location.pathname, Cookies, localStorage / sessionStorage, IndexedDB, document.referrer, window.name, window.postMessage, ומשיכת מידע באמצעות API/AJAX. בנוסף נעבוד עם Chrome DevTools (Inspector/Console/Storage) ונסתכל על הקוד בצורה נוחה (למשל דרך VS Code). ⚠️ דיסקליימר כל ההדגמות מיועדות ללמידה ולתרגול בסביבה חוקית/מעבדה בלבד. 🔗 קישורים חשובים 💎 הצטרפות למועדון: https://tinyurl.com/AviJoin 📢 היכנסו לטלגרם שלי: https://t.me/CyberWithAvi 📘 ידע קודם נדרש ✔️ יסודות HTTP (Request/Response, Headers, Cookies) 🔗 קישור: https://youtu.be/Uikcu4uHR_c ✔️ היכרות עם Stored/Reflected/DOM XSS (מומלץ להשלים את השיעורים הקודמים בסדרה) 🔗 קישור: https://youtu.be/N4vJ3_mRYEA ✔️ בסיס ב-JavaScript ו-DOM 🔗 קישור: https://youtu.be/hPymqBifh6o?si=dIdUkWP3iuOuzeTF&t=898 ✔️ כיצד לתעד את תוכן הלימוד 🔗 קישור: https://youtu.be/8BuwL1icB9M 📝 שיעורי בית 👉 לסכם את השיעור במחברת ה-Notion לפי ה-Template של ה-Learning 👉 לבצע בעצמכם את כל ההדגמות המעשיות מהסרטון שלב-אחר-שלב ⏱️ פרקים 00:00 הקדמה 19:32 דמו: Form Fields (DOM + innerHTML) 35:21 דמו: location.search/hash/pathname + SPA עם Fragment 52:14 דמו: Cookies + איך תוקף יכול לשלוט בערך 1:07:45 דמו: localStorage / sessionStorage 1:28:12 דמו: IndexedDB 1:37:49 דמו: document.referrer 1:43:15 דמו: window.name 1:49:43 דמו: window.postMessage (iframe + popup) 2:01:04 דמו: API / Fetch (AJAX) כמקור קלט 2:06:19 ארגז כלים (ToolKit) – תיעוד Attack Surface Mapping ל-DOM XSS 2:08:38 סיכום 2:12:46 שיעורי בית 2:13:50 מילות סיום

עוד מהאמן הזה

XSS types summary #shorts 2:57
XSS types summary #shorts
189  •  11/04/2026
DOM based XSS #shorts 2:27
DOM based XSS #shorts
242  •  04/04/2026
Social engineering #shorts 1:53
Social engineering #shorts
66  •  28/03/2026
Reflected XSS #shorts 3:00
Reflected XSS #shorts
365  •  21/03/2026
Blind XSS #shorts 2:42
Blind XSS #shorts
277  •  14/03/2026
Stored XSS #shorts 2:36
Stored XSS #shorts
397  •  07/03/2026
The Art of building an XSS payload #shorts 2:11
The Art of building an XSS payload #shorts
230  •  28/02/2026
XSS Rocket metaphor #shorts 2:04
XSS Rocket metaphor #shorts
82  •  21/02/2026
XSS payload definition #shorts 1:12
XSS payload definition #shorts
298  •  14/02/2026
Army routes compared to XSS routes #shorts 2:59
Army routes compared to XSS routes #shorts
335  •  07/02/2026
Common parts of XSS attack #shorts 1:35
Common parts of XSS attack #shorts
369  •  31/01/2026
Lenovo - Lena Chatbot - Hacked! #shorts 2:30
Lenovo - Lena Chatbot - Hacked! #shorts
232  •  24/01/2026
What is XSS? #shorts 1:14
What is XSS? #shorts
205  •  17/01/2026
Learning XSS #shorts 1:01
Learning XSS #shorts
115  •  10/01/2026
DNS Zone Transfer Security #shorts 1:18
DNS Zone Transfer Security #shorts
421  •  27/12/2025
How DNS Servers Sync #shorts 2:17
How DNS Servers Sync #shorts
391  •  20/12/2025
DNS Enumeration Explained Simply #shorts 2:59
DNS Enumeration Explained Simply #shorts
223  •  13/12/2025
HTTP Fuzzing Recap with FFUF #shorts 2:50
HTTP Fuzzing Recap with FFUF #shorts
262  •  06/12/2025
DNS vs HTTP Fuzzing Explained #shorts 2:58
DNS vs HTTP Fuzzing Explained #shorts
300  •  29/11/2025
TLS Handshake Process #shorts 2:58
TLS Handshake Process #shorts
178  •  15/11/2025
NeTube Bot
פעיל עכשיו