في هذا الثريد بتكلم لكم عن ثغرة XSS.
طبعا الثريد بيكون من واقع تجاربي مع هالثغره وبعلمكم كيف تكتشفوها وبعض المهارات لكشف الفلاتر والحمايه .🤩
قبل لا ابدا الثريد ياليت تسوي لايك وريتويت 🔂❗️
وتضيف حسابي : @r00t_nasser
بيحفزني اكتب ثريدات اكثر ...
ويلا نبدا ....
طبعا الثريد بيكون من واقع تجاربي مع هالثغره وبعلمكم كيف تكتشفوها وبعض المهارات لكشف الفلاتر والحمايه .🤩
قبل لا ابدا الثريد ياليت تسوي لايك وريتويت 🔂❗️
وتضيف حسابي : @r00t_nasser
بيحفزني اكتب ثريدات اكثر ...
ويلا نبدا ....
Cross site scripting ( XSS )
هذي الثغره لها 3 انواع ❗️ :
—————————————————
XSS Reflected
XSS Stored
XSS DOM Based
—————————————————
طبعا الفكره من الثغره هي تنفيذ كود javascript في الموقع .
خطورتها :
كثير لكن ابرزها Account Hijacking🛑
هذي الثغره لها 3 انواع ❗️ :
—————————————————
XSS Reflected
XSS Stored
XSS DOM Based
—————————————————
طبعا الفكره من الثغره هي تنفيذ كود javascript في الموقع .
خطورتها :
كثير لكن ابرزها Account Hijacking🛑
طيب ناصر فهمنا فكرة هالثغره وخطورتها كيف نكتشفها؟
هنا نجي لنقطه مهمه .
تحتاج تفهم اساسيات HTML.💯
عشان تقدر تكتشف هالثغره بكامل مهاراتك .
يتبع ..
هنا نجي لنقطه مهمه .
تحتاج تفهم اساسيات HTML.💯
عشان تقدر تكتشف هالثغره بكامل مهاراتك .
يتبع ..
يلا خلونا نطبق ونكتشف ثغرة XSS.
وطبعا التطبيق بيكون على
XSS reflected
الفرق الاساسي بين Reflected و Stored انو :
Reflected ماتتخزن فالموقع فقط فالرابط . ( GET )
Stored تتخزن وتكون اخطر بكثير ( POST )
كذا فهمنا الفرق بينهم يلا نطبق .
وطبعا التطبيق بيكون على
XSS reflected
الفرق الاساسي بين Reflected و Stored انو :
Reflected ماتتخزن فالموقع فقط فالرابط . ( GET )
Stored تتخزن وتكون اخطر بكثير ( POST )
كذا فهمنا الفرق بينهم يلا نطبق .
طيب ماسئلتو نفسكم ليش Reflected ؟
هذي الكلمة معناها انو المدخل تبعي بينعكس من السيرفر للموقع.
مثال الصورة بحثت عن اسمي وانعكس لي ( Reflected ) .
اذا انعكس بهالطريقة كذا عدينا اول خطوه.
هذي الكلمة معناها انو المدخل تبعي بينعكس من السيرفر للموقع.
مثال الصورة بحثت عن اسمي وانعكس لي ( Reflected ) .
اذا انعكس بهالطريقة كذا عدينا اول خطوه.
طيب الخطوه الثانيه جدا مهمه.
نبي نبحث عن Nasser ‘><
ليش؟
لان بشوف هل الموقع يقبل مني هالأقواس >< والتنصيص '
لاني احتاجها فحقن كود javascript.
طيب نبحث عن Nasser ‘><
ونفتح source الصفحه
ومثل ماتلاحظون الاقواس والتنصيص رجعت لي مثل ماهي .
ف هنا خلصت الخطوه الثانيه والمهمه.
نبي نبحث عن Nasser ‘><
ليش؟
لان بشوف هل الموقع يقبل مني هالأقواس >< والتنصيص '
لاني احتاجها فحقن كود javascript.
طيب نبحث عن Nasser ‘><
ونفتح source الصفحه
ومثل ماتلاحظون الاقواس والتنصيص رجعت لي مثل ماهي .
ف هنا خلصت الخطوه الثانيه والمهمه.
وهنا قدرت اتاكد ان الموقع مابيحجب الاقواس والتنصيص .
طيب قبل لا احقن .
الصورة بالاسفل هي طريقة حقن Script داخل html. اساس ذا المطلوب مننا لاثبات الثغره.
الكود بسيط يشغل alert بالصفحة
طيب قبل لا احقن .
الصورة بالاسفل هي طريقة حقن Script داخل html. اساس ذا المطلوب مننا لاثبات الثغره.
الكود بسيط يشغل alert بالصفحة
وهنا الخطوه الثالثه والاخيره.
راح ناخذ السطر اللي صارله Reflected لاسمنا من ال Source ونرجع نحقن فيه الكود.
السطر اللي عنده <h2>.
يلا نكتشفها .
راح ناخذ السطر اللي صارله Reflected لاسمنا من ال Source ونرجع نحقن فيه الكود.
السطر اللي عنده <h2>.
يلا نكتشفها .
بعد ما اخذنا السطر بنعدل عليه.
لو تلاحظو فنفس السطر موجود “”
هذي لازم نسوي لها ecape بسيطه بس نظيف "
الخطوه الثانيه لازم نقفل ال <h2>
نظيف هالقوس فقط <
وبكذا بنبني هالبايلود :
<script>alert()</script><“
وهنا الصور للشرح :
لو تلاحظو فنفس السطر موجود “”
هذي لازم نسوي لها ecape بسيطه بس نظيف "
الخطوه الثانيه لازم نقفل ال <h2>
نظيف هالقوس فقط <
وبكذا بنبني هالبايلود :
<script>alert()</script><“
وهنا الصور للشرح :
وبس هنا انتهى البارت الاول من الثريد.
اذا شفت تفاعل قوي منكم ف هذا يعني انه عجبكم الثريد وتبون اكمل فيه ...🤩
جميع الاحداث في هذا الثريد تمت على موقع حقيقي ، لتوصيل المعلومه بواقع تجريبي حقيقي ..🪄
اذا شفت تفاعل قوي منكم ف هذا يعني انه عجبكم الثريد وتبون اكمل فيه ...🤩
جميع الاحداث في هذا الثريد تمت على موقع حقيقي ، لتوصيل المعلومه بواقع تجريبي حقيقي ..🪄
جاري تحميل الاقتراحات...