لقد اخذنا نظرة بسيطة عن ثغرات XSS في الدرس السابق…أتمنى أن تكونوا قد استوعبتم الدرس بشكل جيد جدا،حتى تستطيعوا فهم درس اليوم و الذي سنتعرف فيه على أنواع ثغرات XSS.
تنقسم ثغرات XSS إلى نوعين اثنين حسب الإستغلال هما Stored XSS Attacks و Reflected XSS Attacks و نوع آخر غير منتشر بكثرة يسمى DOM Based XSS،لنبدأ بأول نوع:
Stored XSS Attacks: في هذا النوع من الإستغلالات يقوم المهاجم بحقن الكود الخبيث في السيرفر مباشرة،في قاعدة البيانات مباشرة أو في الرسائل أو التعليقات.عندما يقوم أي شخص بالدخول إلى مكان حقن الكود،مثلا ليكن أحد المواضيع في المنتدى،حينها سيتم تنزيل الكود الخبيث مباشرة في جهازه و يقوم بما عليه القيام به.
Reflected XSS Attacks: هذا الإستغلال يعتمد كثيرا على الضحية نفسه،يحيث يقوم المهاجم بإرسال الكود الخبيث مباشرة للضحية في شكل رابط مثلا عن طريق البريد أو بوضعه في موقع أو ما شابه،حينها سيقوم الكود الخبيث بإنشاء اتصال بشكل آلي مع المهاجم(هذا يعتمد على نية المهاجم و ليس شرطا أن يقوم بالإتصال به).
النوع الثالث يعتبر من أصعب الإستغلاﻻت لهذا سنتطرق إليه في دروس منفصلة بحول الله.
أحاول في هته الدروس ابقاء الأمور بسيطة إلى ابعد حد حتى ﻻ تختلط الأمور،لهذا نكتفي بهذا القدر لليوم.
أي استفسارات أو أسئلة ﻻ تتدددوا في طرحها و إن شاء الله ستتم الإجابة عنها.
عدد القراءات: 175

4 تعليقات. Leave new

  • Lahcen Loujdy
    27 يناير، 2014 5:42 م

    السلام عليكم
    شكرا لكم على التوضيح و البسيط
    و لدي استفسار فيما يتعلق بكود جافا يزرع في الموقع و عندما يدخل الى الموقع يتم قله الى موقع أخر ما تفسير لهدا هل هو تلاعب ب DNS أم مادا و الفكرة كاملة ترتكز على حقن كود خبيث
    و شكرا لكم اخي

    رد
  • Lahcen Loujdy
    29 يناير، 2014 2:16 ص

    قديما اتذكر أنه اخترق isecur1ty و قال عبد المهيمن :"تمكن من حقن كود بمحتوى الموقع لتحويل الزوار للاندكس الذي رفعها على موقع آخر."
    هذا ما قصدته أخي

    رد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Fill out this field
Fill out this field
الرجاء إدخال عنوان بريد إلكتروني صالح.
You need to agree with the terms to proceed

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.