الأربعاء، 9 يوليو، 2014

دورة الامن المعلوماتي الدرس العاشر ثغرات XSS-الجزء الأول

أهلا بكم في درس جديد...لقد أنهينا المدخل لثغرات حقن قواعد البيانات و نبدأ مع نوع جديد من الثغرات التي تصيب مواقع الويب،و هي الثغرات من نوع XSS.
قبل أن ندخل إلى صلب الموضوع،دعونا نتعرف على هذا النوع من الثغرات أوﻻ: XSS هو اختصار للجملة التالية Cross Site Scripting،لو تلاحظون بأننا لو قمنا بإنشاء اختصار لهته الجملة لحصلنا على CSS و هذا تشابه مع لغة CSS الخاصة بتصميم المواقع لهذا تم استبدال حرف C بحرف X لتلافي هذا التشابه و جعل التفرقة بينهما أمرا سهلا.

ثغرات XSS ببساطة هي إمكانية حقن أكواد الـ HTML و الجافاسكريبت داخل الموقع و بالتحديد في مربعات البحث أو حتى من الرابط نفسه،من أجل سرقة معلومات مهمة من الموقع.

تعتبر ثغرات XSS من أخطر الثغرات،و قد حافظت على مكانتها كثالث أخطر ثغرة منذ عام 2010 لحد اليوم حسب منظمة OWASP المهتمة بأمن تطبيقات الويب.تعتبر هته الثغرة من أسهل الثغرات من حيث الإستغلال.
ابسط مثال عن ثغرات XSS هو حقن كود إظهار تنبيه :
هذا الكود سيقوم بإظهار تنبيه(رسالة) بها xss،و هذا أبسط اختبار لهذه الثغرة.هنالك عدة أنواع أو تقسيمات لهته الثغرة،تختلف باختلاف طريقة الإستغلال،سنتعرف إن شاء الله عليها في الدروس المقبلة.

طريقة البحث عن هده الثغرة  
عند الدخول لاي موقع نبحث عن مكان بحث او اي انبوت  ونضع فيه الكود التالي 
"><script>alert(samir);</script>

ثم انتر واذا ضهرت ناف\ة مكتوب فيها  samir  نتاكد ان الموقع مصاب بالثغرة 
على الجانب:
هته الدروس هي مدخل بسيط فقط للتعرف على الثغرات،أما فيما يخص الأمور المتقدمة و الطرق المتقدمة ﻹكتشاف الثغرات و استغلالها فسيكون لها جانب منفصل و بالتالي سيتم تشريح كل ثغرة لوحدها مع التعرف على كل جزئية على حدى.

0 التعليقات:

إرسال تعليق

لا تنسى ان تشارك samir soltani بتعليقك
او نشر الموظوع جزاك الله خيرا