- بواسطة x32x01 ||
ثغرات الـ Cross Site Scripting او ما يُختصر بـ XSS هي ثغرات أمنية منتشرة على الصعيد الواسع في برامج الويب. من خلال هذه الثغرات يقوم شخص (المهاجم) بحقن كود برنامج خبيث عادة ما يكون بلغة السركتب JavaScript التي يقوم المتصفح بتنفيد اوامر الكود عندما يتم تحميل الصفحة عند الشخص الثاني (الضحية).
يتم حقن الكود من قبل الشخص المهاجم بطرق عدة منها: وهم الضحية للظغط على رابط (XSS منعكس)، او انتظار الضحية ليتصفح صفحة في الموقع الذي يحتوي على ثغرة من هذا النوع (XSS مخزن).
كيف يتم إستغلال ثغرات الـXSS في عمليات الإختراق من قبل القراصنة ؟
من خلال إستغلال ثغرات الـXSS يستعطيع القراصنة سرقة ما يسمى بالـCookies وبذلك يستطيعون تقنص شخصيتك في ذلك البرنامج الذي يحتوي على ثغرة.
يستطع القراصنة أيضا ان يحولوا متصفحك لصفحة ملغومة تحتوي على برامج خبيثة مثل الفيروسات وغيرها.
ويستطيعوان كذلك تحويل متصفحك الى صفحة مشابهة تماما لصفحة البرنامج الذي تزوره (برنامج اداعات البنك مثلا) ويقومون بسرقة كلمات السر الخاصة بك.
يتم أيضا إستغلال هذه الثغرات ليتم تخطي الحماية في البرنامج او متصفحك الذي تتصفح به الويب.
هذه فقط بعض من الهجمات وليس كلها. لا يوجد حد معين لكيفية إستغلال ثغرات XSS فذلك يعتمد على خيال المهاجم وحرفيته في هذا المجال.
هل يستطيعون قرصنة جهازك ومشاهدة الكمرة الخاصة؟ - نعم ! هل يستطيعون الإستماع للميكروفون؟ - طبعا!
هذه الغرات عادة ما تستهدف مستخدمي البرنامج والشبكات التي يتصلون بها. ولكن عندما يتوقف الأمر على مستخدم له (لها) صلاحياة المدير العام للبرنامج تكون النتيجة كارثية ويتم الوصول لخادم الويب كله بدلا من البرنامج فقط!
تنتشر هذه الثغرات على عدة منصات منها Twitter, Facebook, Google, Yahoo.. ويتم اكتشافها مبكرا عن طريق حملات لتشجيع اكتشاف هذه الثغرات تسمى Bug Bounties حيث يتم دفع قيمة مالية والتشهير بمن اكتشف الثغرة.
يتم حقن الكود من قبل الشخص المهاجم بطرق عدة منها: وهم الضحية للظغط على رابط (XSS منعكس)، او انتظار الضحية ليتصفح صفحة في الموقع الذي يحتوي على ثغرة من هذا النوع (XSS مخزن).
كيف يتم إستغلال ثغرات الـXSS في عمليات الإختراق من قبل القراصنة ؟
من خلال إستغلال ثغرات الـXSS يستعطيع القراصنة سرقة ما يسمى بالـCookies وبذلك يستطيعون تقنص شخصيتك في ذلك البرنامج الذي يحتوي على ثغرة.
يستطع القراصنة أيضا ان يحولوا متصفحك لصفحة ملغومة تحتوي على برامج خبيثة مثل الفيروسات وغيرها.
ويستطيعوان كذلك تحويل متصفحك الى صفحة مشابهة تماما لصفحة البرنامج الذي تزوره (برنامج اداعات البنك مثلا) ويقومون بسرقة كلمات السر الخاصة بك.
يتم أيضا إستغلال هذه الثغرات ليتم تخطي الحماية في البرنامج او متصفحك الذي تتصفح به الويب.
هذه فقط بعض من الهجمات وليس كلها. لا يوجد حد معين لكيفية إستغلال ثغرات XSS فذلك يعتمد على خيال المهاجم وحرفيته في هذا المجال.
هل يستطيعون قرصنة جهازك ومشاهدة الكمرة الخاصة؟ - نعم ! هل يستطيعون الإستماع للميكروفون؟ - طبعا!
هذه الغرات عادة ما تستهدف مستخدمي البرنامج والشبكات التي يتصلون بها. ولكن عندما يتوقف الأمر على مستخدم له (لها) صلاحياة المدير العام للبرنامج تكون النتيجة كارثية ويتم الوصول لخادم الويب كله بدلا من البرنامج فقط!
تنتشر هذه الثغرات على عدة منصات منها Twitter, Facebook, Google, Yahoo.. ويتم اكتشافها مبكرا عن طريق حملات لتشجيع اكتشاف هذه الثغرات تسمى Bug Bounties حيث يتم دفع قيمة مالية والتشهير بمن اكتشف الثغرة.