ما هو ثقب xss؟ - تعريف من techopedia

التعريف - ماذا يعني ثقب XSS؟

ثقب XSS هو تطبيق ويب يقدم محتوى ديناميكيًا للمستخدمين الذين لديهم ثغرة أمنية في الكمبيوتر. هذا التطبيق هو برمجة نصية عبر المواقع (XSS) ، وهو يمكّن المهاجم من استغلال بيانات المستخدم السرية دون المرور بآلية التحكم في الوصول مثل سياسة الأصل نفسه. هذا العيب هو الأكثر ملاءمة المعروفة باسم ثقب XSS.

يشرح Techopedia XSS Hole

على سبيل المثال ، قد يصادف المستخدم ارتباطًا تشعبيًا في تطبيق ويب يشير إلى بعض المحتوى الضار. يمكن للمستخدم النقر فوق الرابط ونقله إلى صفحة أخرى تحتوي على بعض أو نشرة البريد الإلكتروني. تجمع هذه الصفحة معلومات المستخدم في شكل كلمة مرور. كما أنه ينشئ صفحة إخراج ضارة تشير إلى بعض الاستجابة المزيفة المصممة لتظهر وكأنها أصلية للمستخدم. يمكن إساءة استخدام البيانات التي أدخلها المستخدم أو يمكن اختطاف جلسة المستخدم عن طريق سرقة ملف تعريف الارتباط. استنادًا إلى حساسية البيانات التي تم جمعها ، يمكن أن تتراوح البرمجة النصية عبر المواقع من مجرد ثغرة أمنية إلى ثغرة أمنية خطيرة. بعد استغلال مشكلة عدم حصانة XSS ، قد يتخطى المهاجم سياسات التحكم في الوصول للمؤسسة.

يعتمد مفهوم البرمجة النصية عبر المواقع على نفس السياسة الأصلية. تنص نفس السياسات الأصلية على أن مستعرض الويب الذي يستخدم JavaScript يمكنه الوصول إلى خصائص وأساليب مختلفة تنتمي إلى نفس الموقع دون أي قيود. يمكن للمهاجمين الضارين استغلال مفهوم نفس السياسة الأصلية عن طريق حقن الشفرة الضارة في موقع ويب باستخدام JavaScript. عندما يتم عرض صفحات الويب من قبل المستخدمين ، قد يجمع المهاجمون بعض معلومات المستخدم المفيدة مثل اسم المستخدم أو كلمة المرور.

وفقًا للإحصاءات التي جمعتها سيمانتيك في عام 2007 ، تمثل البرمجة النصية عبر المواقع 80 في المائة من جميع الهجمات الأمنية التي تم تنفيذها باستخدام أجهزة الكمبيوتر. هناك ثلاثة أنواع من البرمجة النصية عبر المواقع:

• XSS غير المستمر: يتم عرض النوع غير الثابت من البرمجة النصية عبر المواقع أثناء طلبات HTTP حيث يقوم العميل بدمج البيانات في طلب HTTP. عندما يستخدم الخادم البيانات المرسلة من قبل العميل لإنشاء صفحات ، يمكن أن تكون ثقوب XSS نشطة إذا لم يتم تعقيم الطلب بشكل صحيح. تتألف صفحات HTML من المحتوى والعرض التقديمي. إذا أضاف المستخدم الضار بعض المحتوى الذي لم يتم التحقق منه ، فسيحدث حقن العلامات. سيقوم المستخدم بخرق أمانه عن طريق إدخال المعلومات المطلوبة بواسطة التعليمات البرمجية الضارة. يمكن للمهاجم تضليل المستخدم إلى عنوان URL مختلف ، والذي قد يحتوي على فيروس أكثر تطوراً والحصول على معلومات المستخدم الهامة.

• XSS المستمر: يتم حفظ المحتوى الضار الذي تم حقنه بواسطة المهاجم من جانب الخادم وكل طلبات العميل الإضافية تصل إلى المحتوى المعدل ، مما يؤدي إلى مخاطرة أمنية خطيرة. على سبيل المثال ، تسمح بعض المنتديات للمستخدم بنشر رسائل بتنسيق HTML. لذلك ، يمكن للمهاجم تضمين رمز JavaScript لتقديم مربع نص ضار لجمع معلومات مثل كلمة المرور. يجوز للمهاجم أيضًا تكوين رمز JavaScript لحفظ ونقل كل كلمة مرور تم إدخالها في حقل النص.

• DOM المستندة إلى XSS: نموذج كائن المستند (DOM) هو بنية شجرة تمثل جميع العلامات التي تظهر في مستند يتوافق مع معايير XML. يتم استخدام DOM في JavaScript للوصول إلى علامات HTML والمحتوى داخل العلامات ومعالجتها. يمكن للمهاجم حقن جزء ضار من تعليمات JavaScript البرمجية التي تحتوي على عبارات DOM مناسبة للوصول إلى معلومات المستخدم المهمة وتعديلها. على سبيل المثال ، قد يستخدم المهاجم DOM لإعادة توجيه معلومات المستخدم عن طريق إرسال غير صحيح إلى موقع ويب ضار تابع لجهة خارجية.