0
02128428905

آموزش کشف آسیب پذیری Xss در دنیای واقعی (قسمت سوم)

 

با سلام خدمت تمامی دوستان عزیز و کاربران محترم اولترا سیکوریتی … با قسمت سوم آموزش کشف آسیب پذیری XSS در دنیای واقعی در خدمتتون هستم. در این آموزش قصد دارم تا آسیب پذیری XSS را برروی یکی از وبسایت های خبری برای شما شرح دهم.

 

تارگت ما برای این آموزش وبسایت aftabir.com می باشد که همانطور که در پایین مشاهده می کنید این وبسایت دارای رنک پایینی می باشد که یکی از تارگت های قدرتمند می باشد.

 

 

حال وارد وبسایت شده و پنتست خود را آغاز می کنیم.

 

 

 

ابتدا تزریق پیلود را از فیلد جست و جو آغاز می کنیم. عبارتی مانند عبارت <UltraSecurity> را تزریق می کنیم.

 

 

سپس به سورس سایت مراجعه می کنیم تا فیلترینگ این فیلد را دقیق تر مورد بررسی قرار دهیم.

 

 

 

 

همانطور که مشاهده کردید عبارت تزریق شده در سه جا از سورس قرار می گیرد که در دو مورد اول به صورت Encode شده و در مورد آخر پرانتز ها حذف می شوند و در مجموع این فیلد دارای فیلترینگ مناسبی می باشد. یکی از ورودی هایی که میان برنامه نویسان بسیار شایع است استفاده از ورودی های مخفی می باشد … اما شاید از خود بپرسید که ورودی مخفی ( Hidden Input ) چه نوع ورودی است ؟!؟ این نوع ورودی ، به صورت مخفی می باشد و برای کاربر قابل مشاهده نمی باشد اما در سورس وبسایت می توان آنها را مشاهده کرد و بررسی هایی را برروی آنها انجام داد. حال بیایید بررسی برروی ورودی های مخفی این وبسایت انجام دهیم. برای اینکار کافی است که عبارتی مانند عبارت زیر را در سورس سایت جست و جو کنیم.

 

 

 

 

 

 

 

با جست و جوی این عبارت در سورس وبسایت مورد نظر متوجه می شویم که ۵ ورودی مخفی وجود دارد. اما نکته ای که حائز اهمیت است این است که ما تنها به ورودی های مخفی می تونیم پیلود خودمون رو تزریق کنیم که از قبل برای آن مقداری تعیین نشده باشد. بنابراین ما تنها به دو ورودی subsystem و parent می توانیم تزریق خود را انجام دهیم. بنده کار خودم را با ورودی subsystem آغاز می کنم و عبارتی مانند عبارت <UltraSecurity> را از طریق متد GET به آن تزریق می کنم.

 

 

 

حال به سورس سایت مراجعه می کنیم.

 

 

همانطور که مشاهده کردید بدون هیچ فیلترینگی عبارت تزریق شده ما در سورس سایت قرار گرفت. حال پیلود جاوا اسکریپت خود را تزریق می کنیم.

 

 

 

همانطور که مشاهده کردید توانستیم با موفقیت کد جاوا اسکریپت خود را تزریق کنیم.

 

 

امیدوارم که از این آموزش هم لذت برده باشد … حتما حتما نظرات خودتون رو برای ما ارسال کنید … ❤️

 

 

امتیاز شما به این مطلب (1 تا 5)
در حال ارسال
نظرات کاربر
4.67 (3 آرا)
دیدگاه کاربران
  • Amir 19 مه 2020

    خیلی عالی و جذاب بود ممنون.
    یه سوال : با این روش میشه مثلا کد php هم تزریق کرد و کار میکنه؟

  • reza 21 مه 2020

    مثل همیشه بسیار تا بسیار عالی

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *