أهلا بكم في درس جديد...لقد أنهينا المدخل لثغرات حقن قواعد البيانات و نبدأ مع نوع جديد من الثغرات التي تصيب مواقع الويب،و هي الثغرات من نوع XSS.
قبل أن ندخل إلى صلب الموضوع،دعونا نتعرف على هذا النوع من الثغرات أوﻻ: XSS هو اختصار للجملة التالية Cross Site Scripting،لو تلاحظون بأننا لو قمنا بإنشاء اختصار لهته الجملة لحصلنا على CSS و هذا تشابه مع لغة CSS الخاصة بتصميم المواقع لهذا تم استبدال حرف C بحرف X لتلافي هذا التشابه و جعل التفرقة بينهما أمرا سهلا.
ثغرات XSS ببساطة هي إمكانية حقن أكواد الـ HTML و الجافاسكريبت داخل الموقع و بالتحديد في مربعات البحث أو حتى من الرابط نفسه،من أجل سرقة معلومات مهمة من الموقع.
تعتبر ثغرات XSS من أخطر الثغرات،و قد حافظت على مكانتها كثالث أخطر ثغرة منذ عام 2010 لحد اليوم حسب منظمة OWASP المهتمة بأمن تطبيقات الويب.تعتبر هته الثغرة من أسهل الثغرات من حيث الإستغلال.
ابسط مثال عن ثغرات XSS هو حقن كود إظهار تنبيه :
هذا الكود سيقوم بإظهار تنبيه(رسالة) بها xss،و هذا أبسط اختبار لهذه الثغرة.هنالك عدة أنواع أو تقسيمات لهته الثغرة،تختلف باختلاف طريقة الإستغلال،سنتعرف إن شاء الله عليها في الدروس المقبلة.
على الجانب:
هته الدروس هي مدخل بسيط فقط للتعرف على الثغرات،أما فيما يخص الأمور المتقدمة و الطرق المتقدمة ﻹكتشاف الثغرات و استغلالها فسيكون لها جانب منفصل و بالتالي سيتم تشريح كل ثغرة لوحدها مع التعرف على كل جزئية على حدى.دمتم بود،سلام
السلام عليكم أخي عبد المجيد
ردحذفشكرا لك على الدرس القيم و حقيقة مواقع كبيرة في الأمن تم اسقاطها بواسطة هذه الثغرة و كثير من السكريبتات تعاني أيضا من هذا الضعف
شكرا لك أخي الكريم
خطورتها تكمن في سهولتها النسبية
حذف