شرح ثغرة XSS الخطيرة و كيفية استغﻻلها - روهاك

مواضيع مفضلة

شرح ثغرة XSS الخطيرة و كيفية استغﻻلها - روهاك

السﻻم عليكم و رحمة الله و تعالى و بركاته






كيف حالكم متتبعي مدونة محترفي الحماية و الاختراق

اليوم لدينا شرح ثغرة xss المشهورة
تعريفها ثغرة XSS
------------------------------

و هى ثغرة من خلالها يمكنك سحب الكوكيز الخاص بالادمن 

ثغرة [ XSS ] هي اختصار لـ [ Cross site scripting ]

وسبب عدم كتابتها بالاختصار الصحيح [ CSS ]

لكي لا يحدث خلط مع لغة الـ[ CSS ]

الانماط القياسية المعروفة [ Cascading Style Sheets ]

وبذلك تم تسميتها [ XSS ] 

ثغرات [ XSS] لها نوعين وهما

1 ) ثغرات XSS ثابته - مخزّنه [ Persistent - stored ]

2 ) ثغرات XSS غير ثابته - غير مخزّنه

 [ Non persistent - Reflecte  ]

ثغرات XSS الثابته هي اخطر من النوع الغير ثابت ,

وذلك لان ثغرات XSS الثابته , مايدخله الزائر ثابت بالصفحه ,

 اي مايدخله مثلاً يخزّن بقاعدة بيانات السكربت

ثغرات الغير ثابته , هي النوع الاكثر انتشاراً

 وليس خطورة وهي التي تقوم على اساس الادخال الخاص مثلاً

, كما ذكرنا سابقاً عند البحث 

في المنتديات هنا الحالة تسمى غير ثابته

الكود المهم في ثغرات xss


كود الاستغﻻل 
--------------------------
**********alert(**************)</script>**********alert("XSS")</script>

هذا كود سكربت خبيث يأتي بمعلومات الكوكيز تجده دائما ً في ثغرات

هذا السكربت و ظيفته هي سرقة الكوكيز و هذا الكوكيز 

يحتوي على اليوزر نايم و الباسوورد المشفر md5 

مثلا ناخذ هذا الموقع

https://www.calacademy.org
وريح يكون استغلال مثلا بشكل هذا
 =https://www.calacademy.org/search.php?q
الكود هذا نحطو في اخير بعد العلامة  ( )

نحط هذا الكود وانت يمكن تغير ما بينا قوسين الملف المصاب 

**********alert(document.cookie)</script>**********alert("XSS")</script>
المهم يصبح هيك

https://www.calacademy.org/search.php?q=%3Cscript%3Ealert%28document.cookie%2 9%3C/script%3E%3Cscript%3Ealert%28%22XSS%22%29%3C/script%3E
هناك العديد من الطرق , وجميعها تعتبر من الطرق البرمجية ( اي حقن اكواد برمجية ) ,

لذلك كل ما زادت خلفية المخترق في البرمجة كل ما تمكن من التعامل مع هذه الثغرات باحترافية اكثر .

1 – تلغيم الصفحة .

وهنا سيتم حقن اكواد HTML لاضافة صفحة خفية ملغومة في داخل الموقع ( الصفحة ) المصاب

اقرأ المزيد: تعرف على ثغرة xss وكل ما يتعلق بها وبرامجها 

<html>
 <iframe name=”I1″ src=”https://www.calacademy.org/server.html” marginwidth=”1″ marginheight=”1″ height=”1″ width=”1″ scrolling=”no” border=”0″ frameborder=”0″>
 </iframe>
 </iframe></p>
 </html>
عندها سيتم فتح هذا الموقع بطريقة خفية , وسيتم اختراق

 كل من دخل للصفحة التي تم حقن الكود فيها .

الادوات :
-----------------




موقع للتلغيم ( كل شخص يختار اي موقع للتلغيم  )



وفي الاخير اتمنى ان اكون قد اوصلت لكم المعلومات الكافية

وارجو من الله تعالى ان يوفقني ويوفقكم فيما يحبه ويرضاه والسلام عليكم 

لاتنسونا بتققيم الموضوع


مع تحيات أنوار الناشي

  • روابط التحميل والمشاهدة، الروابط المباشرة للتحميل من هنا
---------------------------------------------------------------
شاهد هذا الفيديو القصير لطريقة التحميل البسيطة من هنا
كيف تحصل على مدونة جاهزة بآلاف المواضيع والمشاركات من هنا شاهد قناة منتدى مدونات بلوجر جاهزة بألاف المواضيع والمشاركات على اليوتيوب لمزيد من الشرح من هنا رابط مدونة منتدى مدونات بلوجر جاهزة بآلاف المواضيع والمشاركات في أي وقت حــــتى لو تم حذفها من هنا شاهد صفحة منتدى مدونات بلوجر جاهزة بألاف المواضيع والمشاركات على الفيس بوك لمزيد من الشرح من هنا تعرف على ترتيب مواضيع منتدى مدونات بلوجر جاهزة بآلاف المواضيع والمشاركات (حتى لا تختلط عليك الامور) من هنا
ملاحظة هامة: كل عمليات تنزيل، رفع، وتعديل المواضيع الجاهزة تتم بطريقة آلية، ونعتذر عن اي موضوع مخالف او مخل بالحياء مرفوع بالمدونات الجاهزة بآلاف المواضيع والمشاركات، ولكم ان تقوموا بحذف هذه المواضيع والمشاركات والطريقة بسيطة وسهلة. ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــسلامـ.

Post a Comment

المشاركة على واتساب متوفرة فقط في الهواتف