1.
سوف أتحدث في هذا ال #ثريد
عن أهم ثغرات الويب
XSS و CSRF
كأحد مخاطر #الامن_السيبراني
وهي من الثغرات/الهجمات الأساسيه التي ينبغي معرفتها والتعامل معها
يتميز هذا Threats انه لايستهدف الموقع وإنما يتحول الموقع إلى وسيلة لاصطياد الضحايا وسرقة بياناتهم او تعريضهم للاختراق
سوف أتحدث في هذا ال #ثريد
عن أهم ثغرات الويب
XSS و CSRF
كأحد مخاطر #الامن_السيبراني
وهي من الثغرات/الهجمات الأساسيه التي ينبغي معرفتها والتعامل معها
يتميز هذا Threats انه لايستهدف الموقع وإنما يتحول الموقع إلى وسيلة لاصطياد الضحايا وسرقة بياناتهم او تعريضهم للاختراق
2.
تعد XSS من أشهر الهجمات على الويب والتي تتم عبر حقن الموقع بسكريبت ينفيذ أوامر خبيثة على كمبيوتر الزوار، أي أن الموقع يتحول لوسيلة لاصطياد الضحايا عبر سكريبت يزرعه المخترق
حينعا يصبح الموقع جسر للعبور إلى الضحايا الذين يتصفحونه، ويتسلل للزوار ويهجم عليهم
تعد XSS من أشهر الهجمات على الويب والتي تتم عبر حقن الموقع بسكريبت ينفيذ أوامر خبيثة على كمبيوتر الزوار، أي أن الموقع يتحول لوسيلة لاصطياد الضحايا عبر سكريبت يزرعه المخترق
حينعا يصبح الموقع جسر للعبور إلى الضحايا الذين يتصفحونه، ويتسلل للزوار ويهجم عليهم
3.
XSS
هي اختصار ل Cross Site Scripting،
نقول XSS بينما الاختصار ينبغي أن يكون CSS؟
حتى لا نخلط بين مسمى الثغرة وبين لغة الأنماط CSS المعروفة، لذلك تم استبدال حرف C ب X دلالة على Cross والتي تعني بالانجليزية شارة التقاطع وهي ترسم على هيئة X
XSS
هي اختصار ل Cross Site Scripting،
نقول XSS بينما الاختصار ينبغي أن يكون CSS؟
حتى لا نخلط بين مسمى الثغرة وبين لغة الأنماط CSS المعروفة، لذلك تم استبدال حرف C ب X دلالة على Cross والتي تعني بالانجليزية شارة التقاطع وهي ترسم على هيئة X
4.
في هجوم XSS يقوم المخترق باستغلال إحدى طرق إدخال البيانات إلى الموقع، وليكن مثلا عبر حقول إدخال النص Input Text Fields، فيرسل بيانات على شكل سكريبت، بعد ذلك يتم تنفيذ هذا السكريبت على متصفح الزائر، وتختلف هجمات XSS باختلاف طريقة التعامل مع السكريبت الذي تم زرعه.
في هجوم XSS يقوم المخترق باستغلال إحدى طرق إدخال البيانات إلى الموقع، وليكن مثلا عبر حقول إدخال النص Input Text Fields، فيرسل بيانات على شكل سكريبت، بعد ذلك يتم تنفيذ هذا السكريبت على متصفح الزائر، وتختلف هجمات XSS باختلاف طريقة التعامل مع السكريبت الذي تم زرعه.
6.
في هجوم XSS، إما أن يخزن في قاعدة بيانات الأوامر الضارة ثم ينفذ عند استدعائه، وإما أن ينفذ مباشرة دون أن يحفظ عبر دمجه في رابط معين.
وبذلك يظهر نوعين شهيرة:
• Stored XSS وتسمى كذلك Persistent
والنوع الآخر
• Non Persistent
في هجوم XSS، إما أن يخزن في قاعدة بيانات الأوامر الضارة ثم ينفذ عند استدعائه، وإما أن ينفذ مباشرة دون أن يحفظ عبر دمجه في رابط معين.
وبذلك يظهر نوعين شهيرة:
• Stored XSS وتسمى كذلك Persistent
والنوع الآخر
• Non Persistent
7.
في النوع الأول يقوم المخترق باستغلال أحد مدخلات الموقع فيقوم بإرسال سكريبت يتم تخزينه على مستوى سيرفر الموقع وغالبا في قاعدة البيانات Database
بينما النوع الآخر
لاحاجة إلى تخزين السكريبت في قاعدة البيانات، فيقوم بإرسال رابط الموقع مدموجا بسكريبت ملغوم إلى الضحية عبر إيميل مثلا
في النوع الأول يقوم المخترق باستغلال أحد مدخلات الموقع فيقوم بإرسال سكريبت يتم تخزينه على مستوى سيرفر الموقع وغالبا في قاعدة البيانات Database
بينما النوع الآخر
لاحاجة إلى تخزين السكريبت في قاعدة البيانات، فيقوم بإرسال رابط الموقع مدموجا بسكريبت ملغوم إلى الضحية عبر إيميل مثلا
8.
CSRF
اختصار
Cross site request forgery
نفس فصيلة ثغرات ال XSS
- آلية استغلال الثغرة من اهم الاشياء اللي نستخدمها ف ثغرة هي ال social engineering لان من خلال هذا الهجوم يجب اقناع الضحيه على استخدام الرابط المرسل وهو رابط ضار مثل : طلبات اضافة يوزر وباس للوحة الادمن
CSRF
اختصار
Cross site request forgery
نفس فصيلة ثغرات ال XSS
- آلية استغلال الثغرة من اهم الاشياء اللي نستخدمها ف ثغرة هي ال social engineering لان من خلال هذا الهجوم يجب اقناع الضحيه على استخدام الرابط المرسل وهو رابط ضار مثل : طلبات اضافة يوزر وباس للوحة الادمن
8.
أهم الفروقات بينهم
أن XSS يتم زرع الكود في الويب بينما CSRF يتم استخدام جهة ثالثة لزرع الكود الضار
الفروقات أيضآ عبر الجدول التالي
أهم الفروقات بينهم
أن XSS يتم زرع الكود في الويب بينما CSRF يتم استخدام جهة ثالثة لزرع الكود الضار
الفروقات أيضآ عبر الجدول التالي
9.
OWASP
اختصار
Open Web Application Security Project
منظمة عالمية غير ربحية تصدر كل ثلاث ل أربع سنوات وتظهر أهم عشر ثغرات/هجمات في مجال أمن الويب
المرفق آخر اصدار، وعليه يمكن مشاهدة ترتيب ثغرة XSS
OWASP
اختصار
Open Web Application Security Project
منظمة عالمية غير ربحية تصدر كل ثلاث ل أربع سنوات وتظهر أهم عشر ثغرات/هجمات في مجال أمن الويب
المرفق آخر اصدار، وعليه يمكن مشاهدة ترتيب ثغرة XSS
11.
الثغرتين وغيرها من الثغرات يتم تناولها بشكل مفصل في مواضيع #الاختراق_الأخلاقي
#ethicalhacking
ويظل حساب المبدع @Al7lhh223
من أكثر الحسابات الغنية بمثل هذه المواضيع
@Rattibha
الثغرتين وغيرها من الثغرات يتم تناولها بشكل مفصل في مواضيع #الاختراق_الأخلاقي
#ethicalhacking
ويظل حساب المبدع @Al7lhh223
من أكثر الحسابات الغنية بمثل هذه المواضيع
@Rattibha
Loading suggestions...