#ثريد #الأمن_السيبراني
⚠️ ثغرة (XSS) 🧑💻 ...
📍ما هي البرمجة النصية عبر المواقع (#XSS)؟
هي ثغرة أمنية على الويب تتيح للمهاجم اختراق التفاعلات التي يجريها المستخدمون مع تطبيق ضعيف حيث يسمح للمهاجم بالتحايل على نفس سياسة الأصل المصممة لفصل مواقع الويب المختلفة عن بعضها البعض.
⚠️ ثغرة (XSS) 🧑💻 ...
📍ما هي البرمجة النصية عبر المواقع (#XSS)؟
هي ثغرة أمنية على الويب تتيح للمهاجم اختراق التفاعلات التي يجريها المستخدمون مع تطبيق ضعيف حيث يسمح للمهاجم بالتحايل على نفس سياسة الأصل المصممة لفصل مواقع الويب المختلفة عن بعضها البعض.
عادةً ما تسمح نقاط الضعف في البرمجة النصية عبر المواقع للمهاجم بالتنكر كمستخدم ضحية.
إذا كان المستخدم الضحية يتمتع بامتيازات الوصول داخل التطبيق، فقد يتمكن المهاجم من التحكم الكامل في جميع وظائف وبيانات التطبيق.
إذا كان المستخدم الضحية يتمتع بامتيازات الوصول داخل التطبيق، فقد يتمكن المهاجم من التحكم الكامل في جميع وظائف وبيانات التطبيق.
📍كيف تعمل ثغرة XSS؟
تعمل البرمجة النصية عبر المواقع من خلال معالجة موقع ويب ضعيف بحيث يعيد JavaScript ضار للمستخدمين.
عندما يتم تنفيذ التعليمات البرمجية الضارة داخل متصفح الضحية، يمكن للمهاجم اختراق تفاعله مع التطبيق بشكل كامل.
تعمل البرمجة النصية عبر المواقع من خلال معالجة موقع ويب ضعيف بحيث يعيد JavaScript ضار للمستخدمين.
عندما يتم تنفيذ التعليمات البرمجية الضارة داخل متصفح الضحية، يمكن للمهاجم اختراق تفاعله مع التطبيق بشكل كامل.
📍ما هي أنواع هجمات XSS ؟
الXSS Reflected: حيث يأتي البرنامج النصي الضار من طلب HTTP الحالي.
📍الXSS Stored: حيث يأتي البرنامج النصي الضار من قاعدة بيانات موقع الويب.
الXSS Reflected: حيث يأتي البرنامج النصي الضار من طلب HTTP الحالي.
📍الXSS Stored: حيث يأتي البرنامج النصي الضار من قاعدة بيانات موقع الويب.
📍الXSS DOM-based: حيث توجد الثغرة الأمنية في التعليمات البرمجية من جانب العميل بدلاً من التعليمات البرمجية من جانب الخادم.
📍الReflected cross-site scripting:
هي أبسط مجموعة متنوعة من البرمجة النصية عبر المواقع. ينشأ عندما يتلقى أحد التطبيقات بيانات في طلب HTTP ويتضمن
📍الReflected cross-site scripting:
هي أبسط مجموعة متنوعة من البرمجة النصية عبر المواقع. ينشأ عندما يتلقى أحد التطبيقات بيانات في طلب HTTP ويتضمن
⚡️تلك البيانات في الاستجابة الفورية بطريقة غير آمنة.
📍الStored cross-site scripting:
يُعرف أيضًا باسم XSS المخزن أو من الدرجة الثانية، حيث ينشأ عندما يتلقى التطبيق بيانات من مصدر غير موثوق به ويتضمن تلك البيانات في استجابات HTTP اللاحقة بطريقة غير آمنة.
📍الStored cross-site scripting:
يُعرف أيضًا باسم XSS المخزن أو من الدرجة الثانية، حيث ينشأ عندما يتلقى التطبيق بيانات من مصدر غير موثوق به ويتضمن تلك البيانات في استجابات HTTP اللاحقة بطريقة غير آمنة.
⚡️يمكن تقديم البيانات المعنية إلى التطبيق عبر طلبات HTTP، على سبيل المثال التعليقات على منشور مدونة، أو ألقاب المستخدم في غرفة الدردشة، أو تفاصيل الاتصال على طلب العميل.
⚡️الDOM-based cross-site scripting ينشأ DOM XSS عندما يحتوي التطبيق على بعض JavaScript من جانب العميل الذي.
⚡️الDOM-based cross-site scripting ينشأ DOM XSS عندما يحتوي التطبيق على بعض JavaScript من جانب العميل الذي.
⚡️يعالج البيانات من مصدر غير موثوق به بطريقة غير آمنة، عادةً عن طريق إعادة البيانات إلى DOM.
📍ما الذي يمكن استخدام XSS لأجله؟
عادةً ما يكون المهاجم الذي يستغل ثغرة أمنية في البرمجة عبر المواقع قادرًا على 👇
📍ما الذي يمكن استخدام XSS لأجله؟
عادةً ما يكون المهاجم الذي يستغل ثغرة أمنية في البرمجة عبر المواقع قادرًا على 👇
1️⃣ينتحل شخصية المستخدم الضحية أو يتنكر فيه.
2️⃣تنفيذ أي إجراء يستطيع المستخدم القيام به.
3️⃣ قراءة أي بيانات يستطيع المستخدم الوصول إليها.
4️⃣الحصول على بيانات اعتماد تسجيل دخول المستخدم.
5️⃣إجراء تشويه افتراضي لموقع الويب.
6️⃣إدخال وظائف حصان طروادة في موقع الويب.
2️⃣تنفيذ أي إجراء يستطيع المستخدم القيام به.
3️⃣ قراءة أي بيانات يستطيع المستخدم الوصول إليها.
4️⃣الحصول على بيانات اعتماد تسجيل دخول المستخدم.
5️⃣إجراء تشويه افتراضي لموقع الويب.
6️⃣إدخال وظائف حصان طروادة في موقع الويب.
🚩تأثير ثغرات XSS:
📍يعتمد التأثير الفعلي لهجوم XSS بشكل عام على طبيعة التطبيق ووظائفه وبياناته وحالة المستخدم المعرض للخطر على سبيل المثال:
1️⃣ في تطبيق الكتيبات الدعائية، حيث يكون جميع المستخدمين مجهولين وجميع المعلومات عامة، يكون التأثير غالبا ضئيلا.
📍يعتمد التأثير الفعلي لهجوم XSS بشكل عام على طبيعة التطبيق ووظائفه وبياناته وحالة المستخدم المعرض للخطر على سبيل المثال:
1️⃣ في تطبيق الكتيبات الدعائية، حيث يكون جميع المستخدمين مجهولين وجميع المعلومات عامة، يكون التأثير غالبا ضئيلا.
2️⃣ في تطبيق يحتوي على بيانات حساسة، مثل المعاملات المصرفية أو رسائل البريد الإلكتروني أو سجلات الرعاية الصحية ، يكون التأثير خطيراً في العادة.
⚡️ثغرة XSS تعتبر من أخطر الثغرات ولها نصيب في OWASP Top 10 وهي الاكثر انتشاراً في تطبيقات الويب.
⚡️هي ثغرة تسمح للمهاجم بتنفيذ أكواد Javascript or HTML في صفحات الموقع ويمكنه من خلالها سرقة Session ID - Cookies أو يسوي Redirect بحيث يتم تحويل الضحية إلى موقع ضار.
⚡️هي ثغرة تسمح للمهاجم بتنفيذ أكواد Javascript or HTML في صفحات الموقع ويمكنه من خلالها سرقة Session ID - Cookies أو يسوي Redirect بحيث يتم تحويل الضحية إلى موقع ضار.
❗️كيف تحصل هذه الثغرة❓️
📍سبب تواجد هذه الثغرة انه لايوجد Input Validation بحيث انه لايتم التحقق من المدخلات ولا تتم عملية Check input user وبالتالي يستطيع المهاجم تنفيذ أكواد خبيثه.أنواع ثغرة XSS : 👇
📍سبب تواجد هذه الثغرة انه لايوجد Input Validation بحيث انه لايتم التحقق من المدخلات ولا تتم عملية Check input user وبالتالي يستطيع المهاجم تنفيذ أكواد خبيثه.أنواع ثغرة XSS : 👇
⚡️XSS Reflected ⚡️
📍عند كتابة الكود لايتم تخزينه في Database فقط في الصفحة.
⚡️XSS Stored ⚡️
📍عند كتابة الكود يتم تخزينه في Database وهذا خطير جداً.
📍عند كتابة الكود لايتم تخزينه في Database فقط في الصفحة.
⚡️XSS Stored ⚡️
📍عند كتابة الكود يتم تخزينه في Database وهذا خطير جداً.
❗️كيف تكتشف الثغرة❓️
📍أولاً عليك البحث في أي Box text مثل خانة البحث أو تسجيل الدخول وتنفذ من خلالها أكواد JavaScript OR HTML
📍أولاً عليك البحث في أي Box text مثل خانة البحث أو تسجيل الدخول وتنفذ من خلالها أكواد JavaScript OR HTML
إذا استفدت من هذا الثريد :
1. قم بمتابعتنا (@Glitch_9999 ) لمزيد من منشورات وتحديثات الأمن السيبراني.🛡
2. أعد نشر هذه السلسلة لمشاركة هذا الموضوع.
3. شارك هذه السلسلة مع شخص آخر وشارك المعرفة.
🛡⚡️ الأمن السيبراني للجميع ⚡️🛡
1. قم بمتابعتنا (@Glitch_9999 ) لمزيد من منشورات وتحديثات الأمن السيبراني.🛡
2. أعد نشر هذه السلسلة لمشاركة هذا الموضوع.
3. شارك هذه السلسلة مع شخص آخر وشارك المعرفة.
🛡⚡️ الأمن السيبراني للجميع ⚡️🛡
جاري تحميل الاقتراحات...