شما هم اکنون در حال مشاهده مطلب علت به وجود آمدن باگ در اپلکیشن وب (XSS) از اولترا سیکوریتی می باشید

این صفحه تاکنون 679 بار بازدید داشته است
علت به وجود آمدن باگ در اپلکیشن وب (XSS)
تست نفوذ وب سایت ۸ تیر ۹۷ 679 بازدید
چکیده مطلب:

سلام خدمت کاربران اولترا سیکوریتی   قصد بر این شد که بعد از توضیح در مورد باگ ها در اپلکیشن وب به علت به وجود اومدن اونا بپردازیم و سعی شده با بیان ساده کاملا شما عزیزان مطلب رو درک کنید. خب تو اولین قسمت قراره علت به وجود اومدن باگ xss تشریح کنیم: xss […]

سلام خدمت کاربران اولترا سیکوریتی

 

قصد بر این شد که بعد از توضیح در مورد باگ ها در اپلکیشن وب به علت به وجود اومدن اونا بپردازیم

و سعی شده با بیان ساده کاملا شما عزیزان مطلب رو درک کنید.

خب تو اولین قسمت قراره علت به وجود اومدن باگ xss تشریح کنیم:

xss مخفف Cross Site Scripting هست که به جای C از X  در اول کلمه استفاده شده چون با css که برای زیبایی صفحات وب

استفاده میشه اشتباه گرفته نشه.

xss یعنی اسکرپیت نویسی بین سایتی : به بیان ساده یعنی شما با ارسال یه درخواست به سایت یه کد

هم به اون اضافه میکنید که میتونه کده HTML یا Java Script باشه که باعث اجرا شدن اون کد بعد از درخواست میشه

xss باگی سمت کلاینت هست : به بیان ساده یعنی کدها روی مرورگر اجرا میشود وخطری برای سمت سرور نداره

علت xss جاوا اسکریپت هست یعنی اگر قراره باگی به نام xss وجود داشته باشه از طریق برنامه نویسی جاوا اسکریپت

بهره برداری میشود که عمده ترینش به سرقت بردن کوکی احراز هویت کاربر نسبت به سایت هایی هست که روی

مرورگرش ذخیره کرده است.

خب حالا علت به وجود اومدن باگ xss در php چیست ؟

علتش اینه که ورودی هایی که از کاربر گرفته شده بدون فیلتر کردن ورودی در صفحه چاپ میشه

به فرض مثال تصور کنید یک سایت قسمتی برای سرچ در سایت قرار داده و قراره ورودی سرچ

در صفحه چاپ بشه خب الان یه نفر بیاد کد HTML یا JS وارد کنه چه اتفاقی میوفته ؟ بر اساس

اصولی که ما میدونیم مرورگر این کد هارو ترجمه میکنه و بعد توی صفحه نتیجه رو نشون میده و دلیل

فیلتر کردن ورودی کاربر همین امر هست.

 

خب حالا بریم به کد آسیب پذیر توی php بپردازیم طبق تصویر زیر:

این کد بیانگر اینه که یه ورودی GET از کاربر گرفته میشه و نتیجه اون توی صفحه با دستور echo چاپ میشه

خب حالا فک کنید این فایل php نامش test.php هست برای اینکه ما بیایم اینو تست کنیم از به صورت زیر عمل میکنیم:

در این حالت ما به ورودی search کد جاوا اسکریپت میدیم و باعث میشه که این کد چاپ بشه و چاپ شدن این کد

یاعث نشون دادن پنجره هشدار که  توش رشته XSS هست ترجمه میشه و برای تست آسیب پذیری هم از همین روش

استفاده میکنیم.

تصویر زیر نمایی از این موضوع رو نشون میده:

 

خب توضیحاتی که بیان کردیم میشه علت به وجود اومدن باگ xss که سعی شد به بیان ساده برای شما عزیزان توضیح داده شود 🙂

و خب میمونه روش به کارگیری کاربران وب از طریق این باگ که دراین مطلب نمی گنجه و انشالله بتونیم به صورت تصویری آموزش بدیم

در پست های بعدی هر یک علت وجود اومدن باگ های دیگه رو توضیح خواهیم داد.

دیدگاه کاربران
  1. کاربر۱ گفت:

    ممنون از توضیح
    اما چطور کسی میدونه که باید متغیر search رو وارد کنه؟ این متغیر که نشون داده نمیشه.

دیدگاه شما

کلیه حقوق این وب سایت نزد اولترا سیکوریتی محفوظ می باشد و هرگونه کپی برداری از قالب و محتوا پیگرد قانونی دارد

طراحی و توسعه توسط اولترا سیکوریتی