xss او Cross-site scripting

هذه الثغرة تسمح للهكر بحقن اكواد داخل صفحات الويب وتنفذ هذه الأكواد على جهاز الضحية .
توجد بنوعان
الاول المخزنة : وهي الأخطر حيث تعمل على حقن الكود في الصفحة وسوف يتم تنفيذ هذه الكود على جميع من يفتح هذه الصفحة
الثاني غير المخزنة : منتشرة بشكل اكبر وتعمل على حقن الكود من خلال رابط الصفحة بمتغيرات او اي شيء مصاب واي واحد يفتح هذا الرابط يتنفذ الكود المحقون على جهازة
طبعا كيف نستخدمها في اختراق الأميل
اولا نأخذ صفحة مصابه بثغرة xss
ثانيا نحقن كود من نوع js او java script يعمل هذا الكود على اخذ الـ cookies من متصفح الضحية ووضع هذه البيانات باستخدام طريقة post في صفحة انت رافعها
ثالثا عندما تحصل على cookies الضحية تقوم باستبدالها بالكوكيز حق متصفحك ولنلقل انك اخذت هذه البيانات في لحظة كان الضحية مسجل دخول على حسابه في الفيس بوك مثلا ولازل الضحية مسجل دخول فبعد استبدال كوكيز الضحية بالكوكيز حقك كل ما عليك هو الدخول الى الفيس بوك وسوف تدخل الى حسابه بدون كلمة السر
تحياتي