1. المٌقدمة الأولي :دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    تٌعد ثغرات حقن قواعد البينات الثغرة رقم واحد فى العالم والمصنفة تحت بند الإخطر
    والفريق التابع له بإختراق أكبر المواقع الصهيونية قرائة الموضوع
  2. المٌقدمة الثانية : دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    في هذه المٌثقدمة الثانية والأخيرة سوف نتعرف على قواعد علم حقن قواعد البيانات
    حتى يتثنى لنا علم يٌساعدنا على القيام بعمليات الحقن بالطرق الصحيحه قرائة الموضوع
  3. دورة كشف دمج والتلغيم حصريا على أرض عراق تيم(2017)
    بعد ماقمت بعمل دورة الكشف دمج والتلغيم وستكملت الدوره وتحتوي على 12 درس
    كانت دروس حصريا على عراق تيم وشرح واضح جدا ومفهوم الى المبتدأ والى المبدع قرائة الموضوع

[ خبر ] ثغرات Cross-Site Scripting بعض المفاهيم

الموضوع في '[ الـثـغـرات ]' بواسطة V!P-Hero, بتاريخ ‏17 نوفمبر 2014.

كاتب الموضوع : V!P-Hero المشاهدات : 298 الردود : 0 ‏17 نوفمبر 2014
حالة الموضوع:
مغلق
  1. غير متصل

    V!P-Hero
    DeveloPer Plus

    عضو منذ:
    ‏27 مارس 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    12
    نقاط الجائزة:
    الإقامة:

    بسم الله الرحمن الرحيم

    السلام عليكم ورحمة الله وبركاته

    اللهم صل وسلم على سيدنا محمد وعلى آله وصحبه اجمعين

    اليوم درسنا عن ثغرات

    #Cross-Site Scripting

    النوع هذا يعتبر نوع من انواع الحقن لانه يعطينا الحرية بحقن كود خبيث في الموقع

    نشوف الكود

    [PHP CODE] <?php
    $name=$_GET['name'];
    print $name;
    ?>[/PHP CODE]

    مثل ماهو واضح المتغير name غير مفلتر والاستغلال راح يكون بالشكل التالي

    كود PHP:
    http://127.0.0.1/test.php?name=<script>alert("XSS")</script>
    ناخذ مثال ثاني

    [PHP CODE]<?php
    $name=addslashes($_GET['name']);
    print '<table name="'.$name.'"></table>';
    ?>[/PHP CODE]

    الان اصبح المتغير مفلتر قليلا مثل ماهو واضح من استخدام الدالة addslashes

    والتخطي راح يكون بالشكل التالي

    كود HTML:
    http://127.0.0.1/test.php?name="><script>alert(String.fromCharCode(88,83,83))</script>
    واستخدمنا " في بداية الاستغلال لقفل الاستعلام وليصبح سليم

    و الدالة String.fromCharCode لكي نتخطى الدالة addslashes

    طريقة الاصلاح :

    استخدام htmlentities() او htmlspecialchars()

    مثال

    كود PHP:
    $name=htmlentities($_GET['name']);
    استخدام الفلترة الصحيحة والقوية

    الى هنا ينتهي الدرس القاكم في دروس اخرى
     


    جاري تحميل الصفحة...
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...