السلام عليكم ورحمة الله وبركاته
صراحة صارلي مدة كبيرة مش كاتب اي موضوع فحبيت اكتب موضوع قوي وتستفيد اعضاء منه
اليوم درسنا عن ثغرات xss وصراحة اشوف اغلب عرب ما يعطوها اي اهمية
راح نقسم درس لثلاث اقسام
1- ما هي ثغرات xss وكيف تحدث
2- كيفية استغلالها
3- شرح ترقيع الثغرة (مفيد للمبرمجين )
__________________________________________________ _________
القسم الاول
تغرات xss : تجعلنا قادرين على تطبيق اكواد html و جافا سكربت
طيب ثغرات xss بتحدث عند استقبال متغير من فورم او مربع بحث بدون تشفير بيانات خلينا ندخل في مثال تطبيقي مشان توضح فكرة
انا برمجت ملفين بسيطين يوجد فيهم تغرة xss
طيب خلينا نشوف ملفين ونشرح كيف حدثت ثغرة
كود PHP:
الان نحفظ الملف في سيرفر شخصي باسم 1 وبصيغة html
الملف ثاني
كود PHP:
$vbspider=$_POST['xss'];
echo $vbspider;
?>
الان نحفظ ملف ثاني باسم xss.php وبنفس مسار
طيب الان نفتح ملف 1.html في سيرفر شخصي
طيب الان نكتب اي شي خانة بحث متلا vbspiders ونضغط بحث
نلاحظ انه انتقل ال ملف xss.php وطبع vbspiders او اللي كتبناه في خانة بحث
طيب الان يا شباب هنا هو الخطأ طيب نجرب نكتب اي كود html او جافا سكربت في مربع بحث راح اجعل vbspiders اعرض وتظهر في نصف صفحة
نضع هذا الكود في مربع البحث
كود PHP:
vbspiders
الوسم هو لجعل الكتابة في وسط صفحة وهو في لغة html اما الوسم وه لجعل الخط اعرض وايضا هو من لغة html
الان نشوف صورة ايش اللي حدث
نلاحظ في صورة انه طبع نص في وسط متصفح وايضا انه جعل الخط اعرض
طيب نجرب نحط كود جافا سكربت
كود PHP:
***************(1111);
طبعا هو لعرض رسالة خلينا نضع امر في زر بحث ونشوف
طبعا تغرة حدثت في ملف xss.php
وسبب في ثغرة هو انه استقبل معلومات من متغير xss وطبعها مباشرة من غير تشفيرها خلينا نشوف الكود
كود PHP:
$vbspider=$_POST['xss'];
echo $vbspider;
?>
نلاحظ ان متغير $vbdpider استقبل بيانات بواسط post وثم قام بطباعتها في الامر echo وهذا هو الخطأ المسبب للتغرة
بتمنى القسم الاول يعجبكم نلتقي قي قسم التاني