السلام عليكم
هدا فقط جزء أول من شرح لثغرة Xss
Xss و هي اختصار لـ cross-site scripting لكن لاختصار هده الكلمة كان سيسمى Css لكنها تشابه اختصار كلمة التكويد و التصميم البرمجي المعروفة لدلك قامو بتغيير C الى X لكون هدا الحرف الأخير مهتم جدا في مجال الاختراق .. بدون تعمق في الموضوع ننتقل الى استغلال الثغرة بشكل مبسط .
تكمن خطورة ثغرات Xss في تعديل محتوى الصفحات للموقع المصاب و التي تظهر للمستخدم أو للزائر و دالك بتطبيق أكواد من نوع Html و Javascript بحيث تقوم بحقن هده الاخيرة .. تابعوا الأمثلة :
هدا عبارة عن سكربت بسيط من برمجتي
نفترض على أنه صفحة بحث لموقع ما مثل Google به ثغرة
طبقت كود Javascript كالتالي : "<SCRIPT>alert("lol xss.html");</SCRIPT>
النتيجة :
يعني هناك أكواد كثيرة سأدكرها في الشرح الثاني تختص بتغيير الصفحة و سحب الكوكيز و ... غيرها
و ما ان تقوم بتطبيق الكود و تسجيله في قاعدة البيانات الى أن يتم الظهور لأي مستخدم و زائر بشكل أتوماتيكي
أنواع Xss
يدكر هناك نوعان هما :
stored: و هو تبيق للثغرة كما شرحت في المثال بحفظ الكود في قاعدة البيانات باظهاره مباشرة في كل مرة لجميع الوالجين للموقع بحيث لو كتب كود لسرقة كوكيز سيقوم بمهاجمة كل من يزور الصفحة .
و ثانية هي reflected حيث يتم ارسال الكود عبر السرفر بخاصية HttpRequest و يقوم هدا الأخير بتعديل الكود داخل الصفحة بخاصية HttpResponse الدي يظهر الكود المحقون في الصفحة.
في بعض المواقع هناك حماية ضد هده الأكواد و يجب عليك استعمال بعض الطرق لتجاوزها سيتم شرحها في الجزء التالي .
أنصحكم لمتابعة بعض المواضيع و الكتب :
في أمان الله .
0 التعليقات:
إرسال تعليق