به نام خدا
با اموزش باگ xss از سری اموزش های وب هکینگ در خدمت شما هستیم اگر تاحالا بقیه اموزش های دورمون رو ندیدین میتونین از منو موضوعات دوره تست نفوذ وب رو انتخاب کنید
باگ xss چیست؟
این باگ شایع ترین باگ در بحث وب هکینگه که باعث اجرای اسکریپت داخل سایت میشه اما این اسکریپت در سمت کلاینت یعنی کاربر رخ میده و داخل اطلاعات سایت تاثیری نمیزاره ولی این میتونه تو حملات فیشینگ خیلی خطرناک باشه کار با این باگ خیلی سادست و فقط باید جاوا اسکریپت رو بلد باشین این باگ در ورودی ها رخ میده
ورودی میتونه هر چیزی مثل بخش جستوجو کامنت ها و مکان هایی که یک ورودی رو میگیره باشه اما تا اینجا شاید یه باگ بدرد نخور به نظر بیاد بزارین برای اینکه بهتر اهمیتش رو متوجه بشین یک سناریو رو باهم دیگه پیش بریم
( البته هک کردن وبسایت در صورتی که ادمین مطلع نباشه جرمه و جریمه سنگینی داره(کمش زندانه) اینکه با فیلترشکن کسی شمارو نمیشناسه رو بندازین دور... )
اموزش باگ xss :
ببینید به عنوان مثال سایت ما باگ xss داره خب ما میایم یک کد جوا مینویسیم و با اون میگیم کد جاوا اسکریپتی که در فلان ادرس هست رو داخل سایت اجرا کنه داخل کد جاوا اسکریپتی که داخل هاستمون ذخیره کردیم هم میگیم بیاد کوکی ها و سشن های کاربران رو در یک فایل داخل هاست ذخیره کنه
حالا ادرس سایتی که اسیب پذیره رو به ادمین سایت میدیم و اونرو مجبور میکنیم که کلیک کنه مثلا میگیم این لینک خرابه یا چرا اینجوریه این صفحه و... بعد از کلیک کردن اون کوکی ها و سشنش برای ما سیو میشه و ما میتونیم به راحتی وارد پنل ادمین اون سایته بشیم J به همین راحتی
این فقط یک سناریو ساده بود که تعریف کردیم تا اونهایی که سایت دارن بیشتر توجه کنن برای تست این باگ هم میتونید تکه کد زیر رو داخل مرورگر خودتون(حتما فایرفاکس باشه) تست بزنین
<script> alet(“xss bug!”) </script>
به چیزی مثل زیر برخوردین یعنی باگ داره
_snt.png)
پچ باگ xss :
برای پچ کردن این باگ هم باید ورودی هارو فیلتر کنین مثلا عباراتی مثل
<script> و </script> و...
همچنین از افزونه های امنیتی در وردپرس هم میتونید استفاده کنید
جهت اطلاع ادمین سایت ها کد هایی که ماداخل سناریو گفتیم داخل اینترنت هست و نیازی به یادگیری جوا اسکریپت هم نداره! همین قدر ساده ...
هر سوال یا ابهامی داشتین داخل نظرات بگین تا پاسخگو باشیم
تیم ما هیچگونه مسئولیتی درقبال سوء استفاده برخی از افراد ندارد
