المشاركات اخر المواضيع الاكثر مشاهدة

En çok mesaj

Harléy Quuen

Beginner Hacker
إنضم
9 أبريل 2021
المشاركات
20
مستوى التفاعل
7
النقاط
3
العمر
21
نظام التشغيل
linux
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
 

hmidax01

Beginner Hacker
إنضم
21 مارس 2021
المشاركات
26
مستوى التفاعل
12
النقاط
3
العمر
25
نظام التشغيل
windows_7
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم

ماهي XSS؟​

تعد XSS من أشهر الهجمات على الويب والتي تتم عبر حقن موقعك بسكريبت يقوم بتنفيذ أوامر خبيثة على حواسيب الزوار، أي أن موقعك يتحول إلى وسيلة لاصطياد الضحايا عبر سكريبت يزرعه المخترق في موقعك.
في XSS لا يستهدف المخترق موقعك بدرجة أولى، وإنما يستعمله كجسر للعبور إلى الضحايا الذين يتصفحونه، حيث يستغل ثغرة في موقعك يتسلل من خلالها إلى زوار موقعك للهجوم عليهم.
و XSS هي اختصار ل Cross Site Scripting، هل لاحظت شيئا؟
نقول XSS بينما الاختصار ينبغي أن يكون CSS، فلماذا يا ترى؟
حتى لا نخلط بين مسمى الثغرة وبين لغة الأنماط CSS المعروفة، لذلك تم استبدال حرف C ب X دلالة على Cross والتي تعني بالانجليزية شارة التقاطع وهي ترسم على هيئة X، لذلك تسمى Cross Site Scripting اختصارا ب XSS.
نعود ونعرف باختصار، ثغرة XSS هي ثغرة تسمح للمخترق بزرع أو حقن سكريبت بأي لغة يدعمها المتصفح الذي يستعمله زائر موقعك، وغالبا ما يكون هذا السكريبت بلغة جافاسكريبت، وعند تصفح الموقع يتم تنفيذ هذا السكريبت مما يهدد الزائر.

كيف تعمل XSS؟​

أولا في هجوم XSS عندنا ثلاث فاعلين وهم كالتالي:
- الضحية وهو زائر موقعك
- الوسيلة أو الجسر وهو موقعك نفسه
- ثم المخترق وهو الذي يستغل موقعك للإيقاع بالزوار
وفي هجوم XSS يقوم المخترق باستغلال إحدى طرق إدخال البيانات إلى الموقع، وليكن مثلا عبر حقول إدخال النص Input Text Fields، فيرسل بيانات على شكل سكريبت، بعد ذلك يتم تنفيذ هذا السكريبت على متصفح الزائر، وتختلف هجمات XSS باختلاف طريقة التعامل مع السكريبت المحقون، إما أن يخزن في قاعدة بيانات ثم ينفذ عند استدعائه، وإما أن ينفذ مباشرة دون أن يحفظ عبر دمجه في رابط معين.
طبعا الكلام مايزال مبهما بعض الشيء، لكن بالمثال يتضح المقال.

ماهي أنواع XSS؟​

توجد ثلاثة أنواع من هجمات XSS كلها قائمة على نفس المبدأ المتمثل في استغلال موقع عبر إرسال سكريبت يتم تنفيذه على مستوى متصفح الزائر.
وهذه الأنواع الثلاثة من أنواع XSS كما يلي:
• Stored XSS وتسمى كذلك Persistent XSS: وتحدث هذه الثغرة حينما يقوم المخترق باستغلال أحد مدخلات الموقع فيقوم بإرسال سكريبت يتم تخزينه على مستوى سيرفر الموقع وغالبا في قاعدة البيانات Database، كأن يرسل السكريبت من مربع كتابة التعليقات في الموقع، أو على شكل رسالة، أو من أي مكان في الموقع يسمح بتخزين القيم في قاعدة البيانات، وحينما يأتي زائر ليستعرض الصفحة التي تحتوي على القيم القادمة من قاعدة البيانات يتم تنفيذ هذا السكريبت. على سبيل المثال قمت ببرمجة مدونة Blog من أجل نشر المقالات عليها، في إحدى مقالاتك دخل المخترق وبدل أن يكتب لك تعليقا قام بكتابة سكريبت، هذا السكريبت سيتم تخزينه في قاعدة البيانات، وبالتالي حينما سيأتي زائر ما ليستعرض مقالتك سيتم تحميل التعليقات من قاعدة البيانات ومعها التعليق الملغوم.
• Reflected XSS وتسمى كذلك Non-persistent XSS، وتحدث حينما يستغل المخترق إحدى مدخلات الموقع دون الحاجة إلى تخزين السكريبت في قاعدة البيانات، فيقوم بإرسال رابط الموقع مدموجا بسكريبت ملغوم إلى الضحية عبر إيميل مثلا، أو من خلال نشر هذا الرابط على موقع ما أو على مواقع السوشيال ميديا، وحينما يضغط الضحية على الرابط سيذهب به إلى الموقع وستم تنفيذ السكريبت المدمج معه وبالتالي سيحصل المخترق على ما يشاء، إما عبر سرقة Cookies أو من خلال KeyLogging أو القيام بعمليات أخرى.
• Dom-based XSS: وهو شبيه جدا بالنوع Reflected XSS، غير أنه يرتكز بالأساس على التحكم في Dom الخاص بالصفحة عبر تنفيذ سكريبت مكان إرسال قيمة معينة.

كيف تستطيع جافا سكريبت التأثير على بيانات الزائر؟​

تنفيذ جافاسكريبت على متصفح الزائر لا يشكل أي خطر على الإطلاق ماعدا ما سنذكره لاحقا، لأن جافاسكريبت تشتغل في بيئة محدودة الصلاحيات تمنعها من الوصول إلى ملفات المستخدم وإلى نظام التشغيل، ويمكنك تجربة ذلك بنفسك، من خلال فتح مفكرة نوتباد ومحاولة حذف ملف أو إعادة تسميته من خلال أوامر جافاسكريبت ستجد أن ذلك غير ممكن باستخدام جافاسكريبت لوحدها.
لكن تأتي خطورة جافاسكريبت من قدرتها على الوصول إلى بعض بيانات المستخدم الحساسة ك Cookies، ومن قدرتها على إرسال HTTP Requests لمحتوى معين إلى وجهة معينة من خلال أجاكس أي تستطيع إرسال البيانات إلى السرفر، وكذلك من قدرتها على تعديل HTML الخاص بالصفحة التي ينفذ عليها سكريبت بسبب DOM methods.
هنا تتجلى الخطورة في تنفيذ أوامر جافاسكريبت على متصفح الزائر، بحيث يكفي تنفيذ أمر document.cookie للحصول على Cookie المرتبط بالموقع ومن ثم إرساله إلى السرفر الخاص بالمخترق من أجل العثور على بعض المعلومات الحساسة مثل معرف Session ID.
أو من خلال تسجيل الحروف Keylogging بحيث يتم قنص الحدث الخاص بالضغط على أزرار لوحة المفاتيح وتسجيل كل ما يتم كتابته وإرساله بعد ذلك إلى سرفر المخترق وقد تشمل النصوص المكتوبة كلمات السر وأرقام بطاقة الائتمان وغيرها..
كما يمكن للمخترق أن يغير DOM الخاص بالصفحة من خلال إضافة فورم إلى الموقع ويضع في action attribute وجهة الإرسال وبالتالي يمكنه استغلال هذا الأمر في عملية Phishing عبر دفع المستخدم إلى إدخال بعض المعلومات الحساسة وهو يظن أنه يدخلها في الموقع وفي الحقيقة سيتم إرسالها إلى سيرفر المخترق.
 

Story

Active Hacker
إنضم
25 مارس 2019
المشاركات
142
مستوى التفاعل
164
النقاط
43
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم

BISOON

:: إدارة :: CyberTeaM
طاقم الإدارة
إنضم
29 مايو 2018
المشاركات
756
مستوى التفاعل
664
النقاط
93
الإقامة
Sa3eKa City
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
موجود على اليوتيوب كورس في اختبار اختراق تطبيقات الويب للمهندس ابراهيم حجازي
بيشرح لك كل شي خاص بالويب
كذلك نزل مشروع DVWA وطبق عليه في الاستغلال
 

Harléy Quuen

Beginner Hacker
إنضم
9 أبريل 2021
المشاركات
20
مستوى التفاعل
7
النقاط
3
العمر
21
نظام التشغيل
linux
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
شكرا لكم
 

titanium

Beginner Hacker
إنضم
15 يوليو 2019
المشاركات
129
مستوى التفاعل
138
النقاط
43
العمر
31
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم

Harléy Quuen

Beginner Hacker
إنضم
9 أبريل 2021
المشاركات
20
مستوى التفاعل
7
النقاط
3
العمر
21
نظام التشغيل
linux
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم

hmidax01

Beginner Hacker
إنضم
21 مارس 2021
المشاركات
26
مستوى التفاعل
12
النقاط
3
العمر
25
نظام التشغيل
windows_7
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
السلام عليكم اعضاء الموقع ااريد ان استفسر حوولل تغرات xss
ااولا بعد فحص الموقع من االتغغرات ننقول مثثلا اننا وجدنا التغرررة xss
كيف استغلها وماداا يحصلل ببعد الاسستغلال
 

Story

Active Hacker
إنضم
25 مارس 2019
المشاركات
142
مستوى التفاعل
164
النقاط
43
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
السلام عليكم اعضاء الموقع ااريد ان استفسر حوولل تغرات xss
ااولا بعد فحص الموقع من االتغغرات ننقول مثثلا اننا وجدنا التغرررة xss
كيف استغلها وماداا يحصلل ببعد الاسستغلال
و عليكم السلام
على حسب نوعها اخي هي انواع و كل نوع له استغلال شكل
 

hmidax01

Beginner Hacker
إنضم
21 مارس 2021
المشاركات
26
مستوى التفاعل
12
النقاط
3
العمر
25
نظام التشغيل
windows_7
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
و عليكم السلام
على حسب نوعها اخي هي انواع و كل نوع له استغلال شكل
xss cross site scripting
قصصدي هو كيف ارسلل لهم meessage االى المووقع االممراد تهكيرره وكيف صاحب الموققعع يرى الررسالة
وشكراا

ربما قد فهمتني
 

Story

Active Hacker
إنضم
25 مارس 2019
المشاركات
142
مستوى التفاعل
164
النقاط
43
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
xss cross site scripting
قصصدي هو كيف ارسلل لهم meessage االى المووقع االممراد تهكيرره وكيف صاحب الموققعع يرى الررسالة
وشكراا

ربما قد فهمتني
اخي اقرا الكلام الي فوق

انت كاتب رد مطول شارح فيه الثغرة و كيف تظهر خطورتها
ما ادري ايش بالضبط الي ممكن اضيفة على ردك
 

Story

Active Hacker
إنضم
25 مارس 2019
المشاركات
142
مستوى التفاعل
164
النقاط
43
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
خطورتها على المستخدمين مش على الموقع .. اذا كانت هذه االجابة الي حاب تعرفها \
يعني تسرق عضويات او تنشر صفحات وهمية عبر تحويلهم من الرابط الاصلي لصفحتك و هكذا امور احتيالية
 

hmidax01

Beginner Hacker
إنضم
21 مارس 2021
المشاركات
26
مستوى التفاعل
12
النقاط
3
العمر
25
نظام التشغيل
windows_7
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
خطورتها على المستخدمين مش على الموقع .. اذا كانت هذه االجابة الي حاب تعرفها \
يعني تسرق عضويات او تنشر صفحات وهمية عبر تحويلهم من الرابط الاصلي لصفحتك و هكذا امور احتيالية
لا اسستعملها للاحتيال فانا افحص فقط
 

Story

Active Hacker
إنضم
25 مارس 2019
المشاركات
142
مستوى التفاعل
164
النقاط
43
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
لا اسستعملها للاحتيال فانا افحص فقط
اخي انا اشرح لك خطورتها
مش اقول لك انك تستخدمها للاحتيال

خطورتها على مستخدمين الموقع = يضر سمعة الموقع
لذلك بيكون عليها باونتي جيد غالباً لو كان الموقع محترم
لان اذا زياراته كثيرة معناها تشكل خطورة عليهم كلهم
و بالتالي سمعة الموقع تتضرر
 

hmidax01

Beginner Hacker
إنضم
21 مارس 2021
المشاركات
26
مستوى التفاعل
12
النقاط
3
العمر
25
نظام التشغيل
windows_7
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
اخي انا اشرح لك خطورتها
مش اقول لك انك تستخدمها للاحتيال

خطورتها على مستخدمين الموقع = يضر سمعة الموقع
لذلك بيكون عليها باونتي جيد غالباً لو كان الموقع محترم
لان اذا زياراته كثيرة معناها تشكل خطورة عليهم كلهم
و بالتالي سمعة الموقع تتضرر
وبااي ادات استغل االلاستغغلال

وهل ععنندما استغغل تصصل رسالة الاسستغلال للمووقع
وكيف احصل على user and password

الموقع ووشكررا
 

Story

Active Hacker
إنضم
25 مارس 2019
المشاركات
142
مستوى التفاعل
164
النقاط
43
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
وبااي ادات استغل االلاستغغلال

وهل ععنندما استغغل تصصل رسالة الاسستغلال للمووقع
وكيف احصل على user and password

الموقع ووشكررا
ابحث في الانترنت
ضروري تتعلم javascript حتى تكتب كود يسحب كوكيز المتصفح و يرسله الى موقعك

هذه شوية مصادر و باقي عليك تجتهد شويتين ان شاء الله تستفيد منهم



 

hmidax01

Beginner Hacker
إنضم
21 مارس 2021
المشاركات
26
مستوى التفاعل
12
النقاط
3
العمر
25
نظام التشغيل
windows_7
أريد تعلم ثغرة xss الخاصة بالمواقع هل من مصادر و شكرت لكم
ابحث في الانترنت
ضروري تتعلم javascript حتى تكتب كود يسحب كوكيز المتصفح و يرسله الى موقعك

هذه شوية مصادر و باقي عليك تجتهد شويتين ان شاء الله تستفيد منهم



لاا داعي لتعلم جافا وشكرا الاخ
 
  • احببته
التفاعلات: Story

مواضيع مماثلة

أعلى