0
02128428905

آموزش کشف آسیب پذیری Xss در سایت شرطبندی

 

با سلام خدمت تمامی دوستان عزیز و کاربران محترم اولترا سیکوریتی

 

این آسیب پذیری توسط تیم امنیتی اولترا کشف شده است و به دلیل مشابه بودن اسکریپت سایت های شرطبندی روی اکثر سایت ها جوابگو است….

 

چند ساعت پیش پستی مبنی بر کشف آسیب پذیری XSS برروی سایت های شرطبندی برروی کانال منتشر شد. در این پست قصد داریم تا روند کشف آسیب پذیری را بطور دقیق مورد بررسی قرار دهیم.

در ابتدا یکی از سایت های شرطبندی را به دلخواه انتخاب می کنیم، برای مثال بنده در این آموزش قصد دارم تا از وبسایت امیر تتلو استفاده کنم 🙂 برای این منظور در ابتدا وارد وبسایت می شویم.

در این وبسایت پارامتر های بسیار زیادی برای تزریق پیلود های مورد نظرمون وجود داره اما بنده برای اینکه شما دوستان عزیز خسته نشید به سرعت میرم سراغ قسمتی که آسیب پذیری رخ میدهد 😉 در ابتدا در وبسایت ثبت نام می کنیم.

پس از ثبت نام در وبسایت از حساب کاربری خود خارج می شویم. حال به قسمت مربوط به بازیابی رمز عبور می رویم.

در این مرحله در فیلد ایمیل ، ایمیلی که در مرحله قبل وارد کردیم را وارد می کنیم و منتظر می شویم تا ایمیل مربوط به بازیابی رمز عبور به جیمیل ما ارسال شود.

همانطور که مشاهده کردید در لینکی که برای بازیابی رمز عبور برای ما ارسال شده است ایمیل ما از طریق متد GET دریافت می شود. لینک را باز می کنیم.

می توانید مشاهده کنید که ایمیل ما در این صفحه نمایش داده شده است، حال در پارامتر mail که به صورت متد GET دریافت می شود به جای ایمیل خود پیلودی مانند پیلود زیر را تزریق می کنیم.

در گام بعد به سورس مراجعه می کنیم و پیلود خود را جست و جو می کنیم.

از عبارتی که ما تزریق کردیم عبارت های داخل پرانتز حذف شدند، اما برنامه نویس فیلتری برای “ در نظر نگرفته است برای این منظور می توانیم با اضافه کردن یک Attribute به تگ input پیلود های جاوا اسکریپت خود را اجرا کنیم.

با تزریق پیلود بالا با کلیک کردن برروی فیلد پیلود جاوا اسکریپتی ما نیز اجرا خواهد شد.

و اما چطور می توانیم کاری کنیم پیلود به صورت خودکار با باز کردن لینک اجرا شود !؟ در جاوا اسکریپت تگی با عنوان autofocus وجود دارن که به محض این که صفحه به طور کامل لود شد کد جاوا اسکریپتی شما را اجرا می کند. برای خودکار سازی اجرا شدن پیلود از این تگ استفاده می کنیم.

 

امیدوارم از این آموزش هم لذت کافی را برده باشید.

امتیاز شما به این مطلب (1 تا 5)
در حال ارسال
نظرات کاربر
4.44 (9 آرا)
دیدگاه کاربران
  • erfan 17 اکتبر 2020

    خیلی عالی بود ممنون بابت مطلب جدید.
    فکر می کنم اگر ی مقاله هم درباره این چالش مسخره مومو بزاریدومردم رو ازش مطلع کنید خیلی مفید باشه.

  • The Last Punisher 22 اکتبر 2020

    Kheyli Mamnoon Az Amoozeshetoon.
    Nemishe Lotf Konid Va Amoozeshe Videoyi Ham Bezarid?
    Mamnoon Misham.

  • The Last Punisher 22 اکتبر 2020

    اگه آموزش ویدیویی هم بزارین خیلی خوب میشه.

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *