ثغره xss

ثغره xss


صفحة 1 من 2 12 الأخيرةالأخيرة
النتائج 1 إلى 10 من 11

الموضوع: ثغره xss

  1. #1

    Ham ثغره xss

    [gdwl]بسم الله الرحمان الرحيم[/gdwl]

    ثغره xss
    نتابع يا اخواني^_^ كيفه نحمي نفسنه من ثغرهxss

    حبيت اخواني اوضح ليكم طرق الحماية من ثغرة xss والتي يتم عن طريقها اختراق بريدك على الهوت ميل كما انه يتم عن طريقها العديد من عمليات الاختراق

    اولا:- ماذا تعني الثغرات
    الثغره هي عبارة عن خطأ برمجي يمكننا استغلاله في أن نجعل النظام يقوم بتنفيذ أوامرنا التي نعطيها إليه.

    الثغرات كثيرة لاتعد ولاتحصى في أنواع كثيرة من الأنظمة
    وسأتطرق لثلاث أنواع أساسية في نظام php


    1- File Include (إدراج ملف)

    2- Sql Injection (تنفيذ أوامر في قاعدة البيانات)

    3- XSS (تستخدم لسرقة الكوكيز سواء للمنتدى أو لسكريبت أو لأي برنامج)

    النوع الأول: ثغرة File Include /
    هو أخطر أنواع الثغرات ويسري عبر أخطاء برمجية مما يجعل الهكر

    يقوم بإدراج ملف she ll خطير يمكنه من التلاعب بالموقع واختراقه.

    النوع الثاني: ثغرة Sql Injection /
    وهذا أقل خطورة من الفايل انكلود ويقوم عبر أخطاء برمجية بإرسال أوامر إلى قاعدة البيانات

    مثلاً أمر لقراءة معلومات عضوية الأدمن رقم واحد أو أمر لتغيير كلمة مروره .

    النوع الثالث:XSS /
    يعتبر أقل خطورة من النوع الأول والثاني وأكيد الكل سمع بهذا النوع من الثغرات،
    وهذي الثغرات من خلالها نقدر نسحب كوكيز أي عضو بالموقع مثل الهوتميل لكن تعتبر أقل خطورة


    طبعا والي يهمنا احنا النوع الثالث الي هو موضوعنا اليوم

    وكما اواضحت بالاعلى ان xss تعطينا القدره على سحب ملفات الكوكيز
    هنقول وماهي اهمية ملفات الكوكيز
    لكن لنفرض مثلا ان في هذي الكوكيز بها معلومات تفيد اي هكر في سرقه صاحبها ..

    مثلا الحين عندنا منتدى vBulletin و انت مشترك فيه و نفرض انه هناك مثلا ثغرة xss بهذا المنتدى و هذي الثغرة تمكنا من عرض الكوكيز ..

    راح يكون في معلومات مهمه بهذي الكوكيز مثل LastVisit ( اخر زيارة لك بالمنتدى ) Userid ( رقــم العضو بالمنتدى ) و Password ( باسورد العضو بالمنتدى مشفر Md5 )

    طيب الحين نفرض ان اي هكر قدر يحصل علي هذي الكوكيز ايش يقدر يسوي بها ؟

    اول شئ كدة قدر يعرف رقم عضويتك بالمنتدى المصاب و الباسورد تبعك المشفر و الحين يقدر يستغل رقم العضوية و الباسورد في سرقة حسابك بالمنتدى
    يقدر يفك تشفير الmd5 تبع الـPassowrd و يطلع اسم عضويتك بالمنتدى عن طريق رقم العضوية و بعد كدة يسرق حسابك ..
    وجزء المنتدى لا يفيد بس حبيت اوضحه

    السؤال الاخر كيف راح يصل الهكرز لملف الكوكيز الموجود على الجهاز الخاص بي
    راح يصل الي هذا الكوكيز الموجود على الجهاز عن طريق الرسايل الخبيثه والتي تحتوي على روابط
    وبمعنى اخر المفروض على الواحد ما يفتح اي رساله مشكوك في امرها وغالبا ما نجد الكثير من الرسائل في الصندوق والوارد فضحية فلانه وصور لاحدهم وهكذا من الامثله وهي في بعض الاحيان تكون محاوله للايقاع بك طبعا انا ما اقول في الدايم بقول في بعض الاحيان

    ولكي لا اطيل عليكم اقدم طرق الحمايه لبريد الهوت ميل
    اولا طريقه
    يفضل استخدام متصفح Internet Explorer7 لان مستوى الامن به عالي
    ثاني طريقه
    انك تنزل متصفح اسمه Mozilla Firefox وتعتبره متصفح افتراضي سوي بحث هنا او في جوجل وراح يطلعلك اول شي سويله تحميل وتنصيب وينتهي الخوف من الثغره .
    ثالث طريقه
    تحميل برنامج المكافي اخر اصدار او تحديث اي اصدار الى اخر نسخه ويعتبر جبار في التصدي للكويكز
    رابع طريقه
    يوجد برنامج للتصدي للكويكز او اعلامك عن وجود خروج للكويكز من جهازك ويعطيك اعلام عن قبولك او رفضك وهو جيددددددددد اسمه البرنامج cp1setup وهذا وصلته من السريل :
    ****** Pal 1.6a

    لحماية جهازك من ال****ز الغير مرغوب في زرعه
    http://www.kburra.com/downloads/cp1setup.exe
    Name: Dhafer Al-holaisi
    s/n: 3335201
    خامس طريقه
    وهذه الطريقة تحميك فقط من الرسائل التي تصلك ويوجد بها روابط مشبوهة اما الروابط التي تضغط عليها في الماسنجر فهي لا تفيدك ( لا تضغط على اي رابط مشبوه ) .
    بالبداية ادخل الى ايميلك بالهوتميل , ومن ثم ادخل للخيارات
    1-Options
    2-Mail Display Settings
    3-بعدها اذهب الى الخيار الاخير وفعل الخيار الاول كما هو موضح ( تنبيه للرسائل المشبوهة )في الصورة :
    http://upload.*********/image/1YwOmK...64be3.jpg.html
    ملاحظة في حالة الضغط على اي رابط مشبوه يرجى سرعة تغير الباس الورد
    والسؤال السري
    الطريقه السادسه وما متأكد منها
    في طريقه سمعت عنها وهي من اعدادات ال Internet Explorer وهي انك تروح على
    Internet Explorer كلك يمين وخصائص وتختار التالي


    ادوات ==> خيارات انتر نت ===> امان===>مستوى التخصيص

    وهنا عطل الكل مثل الجافا وعناصر التحكم وتسليم البيانات
    وسوي حفظ
    =========
    وفي الاخير كل واحد يحمي نفسه بقى لو ما سمع الكلام
    وربنا يحيمنا ويحمكم كلنا لانه الشاهد المطلع
    ويارب الموضوع يعجبكم
    واكون وفقت,,

    النهايه..

    سي يو

    تحياتي

  2. #2

    افتراضي رد: ثغره xss

    انشاء الله رد حلووووووو ^_^

  3. #3

    افتراضي رد: ثغره xss

    مشكوور والله يعطيك العاافيه نبهتنا عن حجاات كنا لاهين عنها
    وااصل ابدااعااتك وباارك الله فيك
    تقبل مرووري
    انا تجرعت الظما لين أحترق وجهي وذاب
    انـا كسـرت بخاطـري قبـل الصداقـه تكسـره

    انا أكثر انسان تعلم من كثر ماأخطأ وصاب
    انا أخر لسـان يتكلـم فـي زمـان الثرثـره

    جفني وجرّحه السهر ، حيلي وهدّت الصعاب
    دمعي هدر،ضحكي ندر،عمري وضيعت أكثـره

    شيبت بعقول العرب..هيبت روس ٍ ماتهاب
    جمهـرت نـاس ٍ عمرهـم مايعرفـون الجمهـره



    ماصرت ذيب إلا لأن اللي تحدوني ذيـاب
    مـا كنـت أغيـب إلا لأن العفـو عنـد المقـدره

    V
    تحيااااااااااااااااااتي لكم

    للتواصل عبر لايميل الجديد
    ju.9@hotmail.com

  4. #4

    افتراضي رد: ثغره xss

    مشكوور والله يعطيك العاافيه نبهتنا عن حجاات كنا لاهين عنها
    وااصل ابدااعااتك وباارك الله فيك
    تقبل مرووري
    انا تجرعت الظما لين أحترق وجهي وذاب
    انـا كسـرت بخاطـري قبـل الصداقـه تكسـره

    انا أكثر انسان تعلم من كثر ماأخطأ وصاب
    انا أخر لسـان يتكلـم فـي زمـان الثرثـره

    جفني وجرّحه السهر ، حيلي وهدّت الصعاب
    دمعي هدر،ضحكي ندر،عمري وضيعت أكثـره

    شيبت بعقول العرب..هيبت روس ٍ ماتهاب
    جمهـرت نـاس ٍ عمرهـم مايعرفـون الجمهـره



    ماصرت ذيب إلا لأن اللي تحدوني ذيـاب
    مـا كنـت أغيـب إلا لأن العفـو عنـد المقـدره

    V
    تحيااااااااااااااااااتي لكم

    للتواصل عبر لايميل الجديد
    ju.9@hotmail.com

  5. #5

    افتراضي رد: ثغره xss

    واصل يا بطل

  6. #6

    افتراضي رد: ثغره xss

    جااااااااااااااري

  7. #7

    افتراضي رد: ثغره xss

    مشكووووووور وتعبت نفسك

  8. #8

    افتراضي رد: ثغره xss

    وااااااصل ياوحشــــــــــــــــــــ ــ

  9. #9

    افتراضي رد: ثغره xss

    منوووووورين والله
    جيوش الهكر يجمعـــــــنااا


    جيوش الهكر

    www.aljyyosh.com

  10. #10

    افتراضي رد: ثغره xss

    مشكوووووووووووووووووووووو وووور يا اخي
    تأكد!!!حين تنكسر . .. لن يرممك سوى
    نفسك ... وحين تنهزم ... لن ينصرك سوى ارادتك.. فقدرتك على الوقوف مره
    اخرى... لا يملكها سواك ... فكن أقوى من الدنياوظروفها ... ومهما حدث !!
    لا تبكي !! ولكن ... (( ابتسم )) ... ودع الدنيا تبكي !!! من جبروت ...
    ابتسامتك

    .....
    i
    ndex9@9.cn



صفحة 1 من 2 12 الأخيرةالأخيرة

المواضيع المتشابهه

  1. مشاركات: 16
    آخر مشاركة: 08-23-2015, 06:29 PM
  2. ثغره جديده..مش عارف إزاى أوصلها..
    بواسطة black_dream في المنتدى قسم المشاكل والإستفسارات
    مشاركات: 3
    آخر مشاركة: 05-14-2012, 05:50 PM
  3. مشاركات: 10
    آخر مشاركة: 02-12-2012, 02:52 AM
  4. آسهل ثغره للمبتدئ ./ آشوفك تقول معرف
    بواسطة المكار في المنتدى قسم الثغرات
    مشاركات: 10
    آخر مشاركة: 09-04-2010, 12:48 PM
  5. ثغره حيلوه وقويه هع هع
    بواسطة جندي اول للهكر في المنتدى اختراق المواقع والسيرفرات
    مشاركات: 5
    آخر مشاركة: 04-12-2010, 12:20 PM

المفضلات

أذونات المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •