قمنا بتغطية مثال عملي يوضح ثغرة البرمجة النصية عبر المواقع المشفرة باستخدام تشفير الأحرف وBrup Suite لحل التحدي 004 في مختبر OWASP Hackademic المجاني.
البرمجة النصية عبر المواقع (XSS) هي ثغرة أمنية في تطبيقات الويب تسمح للمهاجمين بإدخال البرامج النصية في صفحات الويب. هناك نوعان من هجمات XSS. الحماية الأساسية ضد هجمات XSS تكون في تطبيق الويب باستخدام تقنيات متطورة للتحقق من صحة الإدخال. توصي OWASP بشدة باستخدام مكتبة تشفير الأمان. عند التنفيذ، ستقوم مكتبة التشفير بتطهير كود HTML ومنع هجمات XSS.
يبدأ نظام XSS المنعكس عن طريق مهاجم يقوم بصياغة بريد إلكتروني ضار ثم يشجع المستخدم على النقر فوقه. غالبًا ما يتم وضع عنوان URL الضار ضمن رسالة بريد إلكتروني تصيدية، ولكن يمكن أيضًا وضعه على موقع ويب عام، مثل رابط داخل تعليق. عندما ينقر المستخدم على عنوان URL الضار، فإنه يرسل طلب HTTP إلى خادم يحتوي على ملف تعريف الارتباط الخاص بالمستخدم والذي يمكن للمهاجم استخدامه لاختطاف حساب المستخدم/المسؤول من خلال ما يسمى باختطاف الجلسة.
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
تجول الفيديو