Client-Side Bugs Resources" cách bạn master lỗ hổng phía client
Giới thiệu
Client-Side Bugs Resources là một repository mã nguồn mở do zomasec phát triển, tổng hợp rất nhiều tài liệu, hướng dẫn, writeup, thử thách và công cụ liên quan đến các lỗ hổng phía client (client-side bugs). Dự án này cực kỳ hữu ích cho những ai muốn nghiên cứu, thực hành và nâng cao kỹ năng săn bug bounty, đặc biệt là các lỗ hổng như XSS, PostMessage, CSP, Prototype Pollution, v.v.
Nội dung chính của repository
1. Tài liệu phân tích JavaScript & Client-Side
| Danh Mục | Tài Nguyên Nổi Bật |
|---|---|
| Phân tích JS | – JavaScript Analysis for Pentesters – JavaScript for Bug Bounty Hunters (3 phần) – JS Code Review Guide – Bug Bounty Tips & Tricks – JS Files – Find the Treasure Hidden in JavaScript |
| Series video | – How to analysis and deal with browser and DEV Tools – JavaScript Analysis Series on YouTube – Browser Security Series on YouTube – JS Analysis Live Recon Series on Youtube |
2. Các bài viết (Writeups) thực tế
| Danh Mục | Nội Dung Tiêu Biểu |
|---|---|
| Writeups | – EventListener XSS Recon – DOM XSS in Gmail – How I Found DOM XSS on Bing.com – TikTok Vulnerability – CSP Bypass on PortSwigger.net – Microsoft Teams Stored XSS CSP Bypass – How to Spot and Exploit PostMessage Vulnerabilities |
3. Thử thách thực hành (Challenges)
| Danh Mục | Nguồn Thử Thách |
|---|---|
| XSS | – Public Firing Range – xss-quiz.int21h.jp – sudo.co.il – alert(1) to win – XSS Pwnfunction – intigriti Monthly Challenges – Tunelko Blog (giải XSS) |
4. Blog & Tài nguyên chuyên sâu
| Danh Mục | Blog/Tài Nguyên |
|---|---|
| Blog chuyên sâu | – Beyond XSS Blog – Yousef Samouda’s Blog – J Lajara’s Blog – Dompurify Bypass – Understanding the PostMessage Vulnerabilities |
5. CSP & Prototype Pollution
| Danh Mục | Nguồn Học & Kỹ Thuật |
|---|---|
| CSP Resources | – Mozilla CSP Guide – CSP Bypass Techniques and Mitigations – CSP Bypass Guidelines – CSP Bypass Search |
| Prototype Pollution | – Portswigger – Imperva – Prototype Pollution — A Deeper Inspection (Amit Nigam) |
6. Tài liệu học tập & công cụ
| Danh Mục | Tài Nguyên |
|---|---|
| Sách & Learning | – The Tangled Web Book – The Browser Hacker’s Handbook – BOM/DOM Tutorial (Elzero) – Cross-window communication |
| Dev Tools | – Debugger |
| Internals | – IFrame and cross-domain security |
Các khái niệm quan trọng nên biết
Repository cũng nhấn mạnh các khái niệm quan trọng mà mọi bug hunter nên nắm vững khi nghiên cứu client-side bugs:
- XSS (Cross-site Scripting)
- PostMessage
- WebSocket
- CSP (Content Security Policy)
- CORS (Cross-Origin Resource Sharing)
- CSRF (Cross-Site Request Forgery)
- SOP (Same-Origin Policy)
- JSONP
- Prototype Pollution
Nhận xét & Đánh giá
- Tính tổng hợp: Dự án tập hợp rất nhiều nguồn tài liệu, writeup, blog, thử thách và công cụ thực tế, giúp người học tiết kiệm thời gian tìm kiếm.
- Tính thực tiễn: Nhiều writeup và thử thách thực tế, phù hợp cho cả người mới lẫn chuyên gia bug bounty.
- Tính cập nhật: Các tài nguyên được cập nhật liên tục, bao quát cả các kỹ thuật mới và lỗ hổng hiện đại.
- Dễ tiếp cận: Phân loại rõ ràng, dễ tra cứu, phù hợp cho việc tự học hoặc làm tài liệu tham khảo nhanh.
Kết luận
"Client-Side Bugs Resources" là một kho tài nguyên tuyệt vời cho cộng đồng bảo mật, đặc biệt là những ai đam mê client-side bugs, bug bounty và muốn nâng cao kỹ năng khai thác các lỗ hổng phía trình duyệt. Nếu bạn muốn học chuyên sâu về XSS, CSP, PostMessage, Prototype Pollution,… thì đây là nơi không thể bỏ qua.
Source : https://github.com/zomasec/client-side-bugs-resources
