منتديات بنك المعلومات
بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته

لقد دخلت المنتدى بصفتك زائر فإذا كنت عضو فأرجو من الدخول وإذا كنت زائراً أتمنى منك التسجيل في المنتدى.

*الإدارة*

منتديات بنك المعلومات

برمجة موفق ياسين 0599044931
 
الرئيسيةالبوابةاليوميةمكتبة الصورس .و .جبحـثالأعضاءالمجموعاتالتسجيلدخول

شاطر | 
 

 دراسة مبسطة حول ثغرات xss الجزء الاول

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
Admin
Admin
Admin
avatar

عدد المساهمات : 126
تاريخ التسجيل : 04/09/2012
العمر : 19

مُساهمةموضوع: دراسة مبسطة حول ثغرات xss الجزء الاول   الأحد أبريل 20, 2014 10:44 am

السلام عليكم ورحمة الله وبركاته

صراحة صارلي مدة كبيرة مش كاتب اي موضوع فحبيت اكتب موضوع قوي وتستفيد اعضاء منه

اليوم درسنا عن ثغرات xss وصراحة اشوف اغلب عرب ما يعطوها اي اهمية

راح نقسم درس لثلاث اقسام

1- ما هي ثغرات xss وكيف تحدث

2- كيفية استغلالها

3- شرح ترقيع الثغرة (مفيد للمبرمجين )

__________________________________________________ _________
القسم الاول

تغرات xss : تجعلنا قادرين على تطبيق اكواد html و جافا سكربت

طيب ثغرات xss بتحدث عند استقبال متغير من فورم او مربع بحث بدون تشفير بيانات خلينا ندخل في مثال تطبيقي مشان توضح فكرة


انا برمجت ملفين بسيطين يوجد فيهم تغرة xss


طيب خلينا نشوف ملفين ونشرح كيف حدثت ثغرة

كود PHP:




الان نحفظ الملف في سيرفر شخصي باسم 1 وبصيغة html








الملف ثاني
كود PHP:
$vbspider=$_POST['xss'];
echo $vbspider;
?>
الان نحفظ ملف ثاني باسم xss.php وبنفس مسار



طيب الان نفتح ملف 1.html في سيرفر شخصي




طيب الان نكتب اي شي خانة بحث متلا vbspiders ونضغط بحث



نلاحظ انه انتقل ال ملف xss.php وطبع vbspiders او اللي كتبناه في خانة بحث

طيب الان يا شباب هنا هو الخطأ طيب نجرب نكتب اي كود html او جافا سكربت في مربع بحث راح اجعل vbspiders اعرض وتظهر في نصف صفحة

نضع هذا الكود في مربع البحث

كود PHP:
vbspiders
الوسم
هو لجعل الكتابة في وسط صفحة وهو في لغة html اما الوسم وه لجعل الخط اعرض وايضا هو من لغة html

الان نشوف صورة ايش اللي حدث



نلاحظ في صورة انه طبع نص في وسط متصفح وايضا انه جعل الخط اعرض

طيب نجرب نحط كود جافا سكربت
كود PHP:
***************(1111);
طبعا هو لعرض رسالة خلينا نضع امر في زر بحث ونشوف






طبعا تغرة حدثت في ملف xss.php

وسبب في ثغرة هو انه استقبل معلومات من متغير xss وطبعها مباشرة من غير تشفيرها خلينا نشوف الكود

كود PHP:
$vbspider=$_POST['xss'];
echo $vbspider;
?>
نلاحظ ان متغير $vbdpider استقبل بيانات بواسط post وثم قام بطباعتها في الامر echo وهذا هو الخطأ المسبب للتغرة

بتمنى القسم الاول يعجبكم نلتقي قي قسم التاني
الرجوع الى أعلى الصفحة اذهب الى الأسفل
معاينة صفحة البيانات الشخصي للعضو http://wwwl.tv2x2.com
 
دراسة مبسطة حول ثغرات xss الجزء الاول
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتديات بنك المعلومات  :: الاختراق العام-
انتقل الى: