ماهي ثغرة XSS ؟
ماهي ثغرة XSS؟تعد XSS من أشهر الهجمات على الويب والتي تتم عبر حقن موقعك بسكريبت يقوم بتنفيذ أوامر خبيثة على حواسيب الزوار، أي أن موقعك يتحول إلى وسيلة لاصطياد الضحايا عبر سكريبت يزرعه المخترق في موقعك.في XSS لا يستهدف المخترق موقعك بدرجة أولى، وإنما يستعمله كجسر للعبور إلى الضحايا الذين يتصفحونه، حيث يستغل ثغرة في موقعك يتسلل من خلالها إلى زوار موقعك للهجوم عليهم.ثغرة XSS هي ثغرة تسمح للمخترق بزرع أو حقن سكريبت بأي لغة يدعمها المتصفح الذي يستعمله زائر موقعك، وغالبًا ما يكون هذا السكريبت بلغةجافاسكريبت، وعند تصفح الموقع يتم تنفيذ هذا السكريبت مما يهدد الزائر.كيف تعمل XSS؟أولًا في هجوم XSS هناك ثلاثة فاعلين وهم كالتالي:- الضحية وهو زائر موقعك- الوسيلة أو الجسر وهو موقعك نفسه- ثم المخترق وهو الذي يستغل موقعك للإيقاع بالزواروفي هجوم XSS يقوم المخترق بإستغلال إحدى طرق إدخال البيانات إلى الموقع، وليكن مثلًا عبر حقول إدخال النص Input Text Fields، فيرسل بيانات على شكل سكريبت، بعد ذلك يتم تنفيذ هذا السكريبت على متصفح الزائر، وتختلف هجمات XSS بإختلاف طريقة التعامل مع السكريبت المحقون، إما أن يُخزن في قاعدة بيانات ثم ينفذ عند إستدعائه، وإما أن يُنفذ مباشرة دون أن يُحفظ عبر دمجه في رابط معين.ماهي أنواع XSS؟توجد ثلاثة أنواع من هجمات XSS جميعها قائمة على نفس المبدأ المتمثل في إستغلال موقع عبر إرسال سكريبت يتم تنفيذه على مستوى متصفح الزائر.وهذه الأنواع الثلاثة من أنواع XSS كما يلي:• Stored XSS وتسمى كذلك Persistent XSS: وتحدث هذه الثغرة حينما يقوم المخترق بإستغلال أحد مدخلات الموقع فيقوم بإرسال سكريبت يتم تخزينه على مستوى سيرفر الموقع وغالبًا في قاعدة البيانات Database، كأن يرسل السكريبت من مربع كتابة التعليقات في الموقع، أو على شكل رسالة، أو من أي مكان في الموقع يسمح بتخزين القيم في قاعدة البيانات، وحينما يأتي زائر ليستعرض الصفحة التي تحتوي على القيم القادمة من قاعدة البيانات يتم تنفيذ هذا السكريبت. على سبيل المثال قمت ببرمجة مدونة Blog من أجل نشر المقالات عليها، في إحدى مقالاتك دخل المخترق وبدل أن يكتب لك تعليقًا قام بكتابةسكريبت، هذا السكريبت سيتم تخزينه في قاعدة البيانات، وبالتالي حينما سيأتي زائر ما ليستعرض مقالتك سيتم تحميل التعليقات من قاعدةالبيانات ومعها التعليق الملغوم.• Reflected…
