قمنا بتغطية مثال عملي يوضح البرمجة النصية للمواقع المنعكسة XSS باستخدام Burp Suite لحل التحدي 003 في مختبر OWASP Hackademic المجاني.
البرمجة النصية عبر المواقع (XSS) هي ثغرة أمنية في تطبيقات الويب تسمح للمهاجمين بإدخال البرامج النصية في صفحات الويب. هناك نوعان من هجمات XSS. الحماية الأساسية ضد هجمات XSS تكون في تطبيق الويب باستخدام تقنيات متطورة للتحقق من صحة الإدخال. توصي OWASP بشدة باستخدام مكتبة تشفير الأمان. عند التنفيذ، ستقوم مكتبة التشفير بتطهير كود HTML ومنع هجمات XSS.
يبدأ نظام XSS المنعكس عن طريق مهاجم يقوم بصياغة بريد إلكتروني ضار ثم يشجع المستخدم على النقر فوقه. غالبًا ما يتم وضع عنوان URL الضار ضمن رسالة بريد إلكتروني تصيدية، ولكن يمكن أيضًا وضعه على موقع ويب عام، مثل رابط داخل تعليق. عندما ينقر المستخدم على عنوان URL الضار، فإنه يرسل طلب HTTP إلى خادم يحتوي على ملف تعريف الارتباط الخاص بالمستخدم والذي يمكن للمهاجم استخدامه لاختطاف حساب المستخدم/المسؤول من خلال ما يسمى باختطاف الجلسة.
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
تجول الفيديو