- بواسطة x32x01 ||
مقدمة للمبتدئين في ال Vulnerabilities 🔐
Vulnerability هي ثغرة قد تكون موجودة في:- Logic التطبيق
- Source Code للتطبيق
- Infrastructure مثل Proxy، WAF، أو Web Server
كل ثغرة لها Exploit، وهو استغلال يسمح للمهاجم:
- الوصول إلى بيانات ليست ملكه
- التلاعب بالبيانات أو الوصول لأماكن غير مصرح له
- تنفيذ أوامر غير مسموح بها
أهم ثغرات الويب الواجب معرفتها ⚠️
1️⃣ OS Command Injection
- تحدث عندما لا يتم تصفية أو معالجة User Input.
- تمكن المهاجم من تنفيذ أوامر على Back-End والتحكم في التطبيق، السيرفر، وقاعدة البيانات.
2️⃣ File Path Traversal (FPT)
- ناجمة عن سوء تكوين Web Server.
- تتيح للمهاجم الوصول إلى Paths و Directories حساسة، وقراءة ملفات مهمة أو تعديلها إذا كانت Permissions مفتوحة (777).
3️⃣ XML External Entity Injection (XXE)
- تمكن المهاجم من تنفيذ DDOS أو تنفيذ كود عن طريق XML Files.
- تحدث إذا كان التطبيق يستخدم XML Processors أو SOAP مع DTDs مفعلة أو SAML للـ Authentication/Authorization.
4️⃣ HTTP PUT Method Enabled
- وجود PUT Method مفعل يسمح برفع أي محتوى خبيث مثل Shell أو Malware على Web Server.
5️⃣ Server-Side Includes (SSI) Injection
- تسمح بإدخال توجيهات خبيثة في HTML Pages، تنفيذ أوامر على السيرفر، وسرقة Cookies أو Session IDs.
6️⃣ Cross-Site Scripting (XSS) 💻
- تنفيذ Scripts على Back-End أو Client-Side.
- التأثيرات: سرقة Cookies، الوصول للبيانات، التلاعب بالنماذج، CSRF، Clickjacking، إنشاء Botnets.
- أنواع XSS:
- Reflected (Non-Persistent)
- Stored (Persistent)
- DOM XSS (Client-Side)
DOM XSS
- يستهدف Document Object Model على جانب العميل.
- لا يتفاعل مع Server، صعب الكشف عنه، يمكن أن يكون Persistent أو Non-Persistent.
Mutation XSS (mXSS)
- نوع جديد يعتمد على innerHTML في DOM Environment.
- قادر على تجاوز XSS Filters و Sanitizers وتحقيق Manipulation مباشر للـ HTML Content.
التعديل الأخير:
