أهلاً ومرحبا بكل أعضاء وزوار مجتمع أكتب كود .. يمكنك تسجيل عضوية فى منتديات أكتب كود .. لتتمكن من عرض الموقع بدون أعلانات ( التسجيل مجاناً )
  1. المدير العام

    المدير العام أدارة موقع أكتب كود

    شرح طريقة اكتشاف ثغرة Reflected XSS في موقع infosecinstitute.com
    ماهي ثغرة Cross-site Scripting (XSS) - Reflected ؟
    تحدث ثغرة XSS عندما يسمح موقع الويب بتنفيذ اكواد جافاسكربت في متصفح المستخدم الذي يزور الموقع , لذالك يقوم المهاجم باستغلال هاذا الخطأ لتنفيذ اكواد خبيثة في متصفح الضحية وسرقة ملفات Cookies وغيرها من البيانات ...

    خطوات اكتشاف ثغرة Reflected XSS في موقع infosecinstitute.com :
    1. نقوم بفتح الرابط التالي :
    كود:
     https://resources.infosecinstitute.com/?q=TestXSS</SCRIPT><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
    2. سيتم تنفيذ السكربت في الموقع المصاب

    [​IMG]

    [​IMG]

    خطر الثغرة :
    يستطيع المهاجم استغلال الثغرة وسرقة ملفات cookies من الضحية والاستيلاء على الحساب , وتنفيذ اكواد جافاسكربت للتجسس على الضحية مثل keylogger, وتغيير شكل الصفحة والتعديل عليها واضافة صور وفيديو ويمكن تحويل الضحية الى مواقع اخرى ...

    كيف يتم اصلاح الثغرة :
    نقوم باستخدام Content Security Policy (CSP) لمنع تنفيذ اي سكربت ضار

    المراجع : https://portswigger.net/web-security/cross-site-scripting
     
جاري تحميل الصفحة...

مشاركة هذه الصفحة