-
xss
ثغرة XSS (Cross-Site Scripting) من أشهر الثغرات في الويب، وبتحصل لما المهاجم يقدر يحط كود ضار (زي JavaScript) في صفحة الويب، واللي بيتنفذ بعد كده على جهاز المستخدم من غير ما يعرف.
بمعنى تاني، لما بيبقى فيه موقع ما بيعملش فلترة كويسة للداتا اللي بتتكتب فيه، زي مثلًا لما تكتب كومنت أو اسم في فورم معين، ممكن المهاجم يدخل كود JavaScript بدل الكلام الطبيعي. لما أي مستخدم يشوف الصفحة اللي فيها الكود ده، بيتنفذ الكود على جهازه وكأنه هو اللي كتبه.
المشكلة الكبيرة هنا إن الكود ده ممكن يتعمل بيه حاجات كتير زي سرقة بيانات المستخدمين، زي الـCookies، أو حتى تغيير شكل الصفحة نفسها .
أنواع ثغرة XSS
<strong style=”background-color: var(–bb-content-background-color); font-family: inherit; font-size: inherit; color: var(–bb-body-text-color);”> (Stored XSS): الكود الضار يتخزن على السيرفر (زي قاعدة البيانات) ويظهر للمستخدمين الآخرين عند تحميل الصفحة.
(Reflected XSS):
الكود الضار يتنفذ فورًا بناءً على طلب المستخدم، وعادةً بيكون في رابط أو طلب GET
DOM-based XSS
الثغرة هنا تحصل بسبب تغيير في الـ DOM (Document Object Model) في المتصفح من خلال JavaScript من غير ما تتأثر بالخادم.
عذرا، لم يتم العثور على ردود.
سجل دخول للرد