إعـــــــلان

تقليص
لا يوجد إعلان حتى الآن.

Cross-site scripting Xss SecurityTube

تقليص
X
 
  • تصفية - فلترة
  • الوقت
  • عرض
إلغاء تحديد الكل
مشاركات جديدة

  • [شرح] Cross-site scripting Xss SecurityTube

    السلام عليكم

    قبل مشاهدة الفيديو نتكلم قليلا عن هذا النوع من الثغرات الذي يسمي كروس سايت سكريبتينج او يختصر بالشكل Xss .

    هذا النوع من الاكسبلوت يختلف عن اي نوع اخر من الاكسبلوتات كالانكلود او الانجكشن او لوكالز ..

    كما نعلم ان النواع التي تم ذكراها سابقا تعتمد على تطبيق في بيئة عمل النظومة وليس خارجها فثغرات الفايل انكلود والانجكشن .. الخ تطبق على الموقع المصاب نفسه . ليتم بعد ذلك استغلالها .

    اما ثغرات الكروس سايت تطبق على اشخاص ليتم من خلالها الوصول لاهدف مختلفة .

    وتعتبر هذه الثغرات محاكية لنظام تشغيل المتصفحات كالفايرفوكس والاوبرا .. الخ

    ويتم الاستفادة منها من خلال حقن اكواد جافا سكريبت او غيرها من الاكواد في متصفح الهدف . كمثال :

    سحب كوكيز دخول للوحة تحكم من خلال هذا النوع .



    التحليل العلمي لحدوث مثل هذه الثغرات :

    وهية في اختصار ان النتائج غير مشفرة في عمليات الادخاال . لنوضح بمثال

    كود PHP:
    <?
    $m 
    $_GET['most'];
    echo 
    $linux ;
    ?>
    $linux هذا هو المتغير المراد طباعته .

    $_GET وهذا كود الاستقبال .

    فكما نلاحظ انه اعتمد في هذا الكود ان يقوم بطباعة الناتج دون اي تشفير ( استقبال > طباعة دون اي عملية تشفير للناتج )

    وهذا فيديو يوضح ديناميكية عمل هذا النوع والتطبيق على موقع

    http://www.mediafire.com/?vnx03jmgy42ondg

    التعديل الأخير تم بواسطة Linux_Code; الساعة 10-12-2010, 11:34 PM.
    Linux_Code AsKMe
    h4x[email protected]Oot[Id] LinUx1337
يعمل...
X