بلاگ

در این مقاله، به بررسی حمله Reflected XSS (RXSS) پرداخته‌ایم، یکی از انواع Cross-Site Scripting (XSS) که به مهاجمان اجازه می‌دهد کد مخرب جاوااسکریپت را درون صفحات وب اجرا کنند. ابتدا مفهوم XSS را توضیح داده و انواع آن از جمله Reflected, Stored, DOM-Based, Blind و Self XSS را معرفی کرده‌ایم. سپس نحوه شناسایی RXSS را بررسی کرده و روش‌های گسترش و اجرای پیلودهای مخرب را توضیح داده‌ایم. همچنین با ارائه نمونه پیلودها، نحوه اکسپلویت این آسیب‌پذیری و اجرای کد بدون نیاز به تعامل کاربر را شرح داده‌ایم. در پایان، نکاتی برای خودکارسازی حمله با استفاده از رویدادهای onerror و onload ارائه شده است. اگر به امنیت وب و تست نفوذ علاقه‌مندید، این مقاله را از دست ندهید!

:Exploiting XSS vulnerabilities To steal cookies To capture passwords To perform CSRF & :Dangling markup injection Preventing attacks

هنگام آزمایش XSS منعکس شده و ذخیره شده، یک کار کلیدی شناسایی XSS context  است: ·        مکانی در داخل پاسخ که داده‌های قابل کنترل توسط مهاجم ظاهر می‌شود. ·        هرگونه اعتبارسنجی ورودی یا پردازش دیگری که روی آن داده‌ها توسط برنامه انجام می‌شود. بر اساس این جزئیات، می‌توانید یک یا چند Payload کاندید  XSS را انتخاب کنید و آزمایش کنید که آیا آن‌ها مؤثر هستند یا خیر.

در این بخش، ما درباره DOM-based cross-site scripting (DOM XSS) توضیح خواهیم داد، نحوه یافتن آسیب‌پذیری‌های DOM XSS را بیان می‌کنیم و درباره چگونگی بهره‌برداری از DOM XSS  با منابع و مقصدهای مختلف صحبت می‌کنیم.

در این بخش، به توضیح cross-site scripting ذخیره‌شده، شرح اثرات حملات XSS ذخیره‌شده و نحوه یافتن آسیب‌پذیری‌های XSS ذخیره‌شده می‌پردازیم.

در این بخش، cross-site scripting را توضیح می‌دهیم، تأثیر reflected XSS attacks  را شرح می‌دهیم، و نحوه یافتن آسیب‌پذیری‌های reflected XSS را توضیح می‌دهیم.

در این بخش، ما توضیح می‌دهیم که cross-site scripting چیست، انواع مختلفی از cross-site scripting vulnerabilities  را توضیح می‌دهیم و نحوه پیدا کردن و جلوگیری از cross-site scripting  را توضیح می‌دهیم.